J'étais persuadé que—hors cas exceptionnel comme le confinement—c'était à l'employeur d'assumer les frais du travail à distance (eg. matériel, électricité, accès internet, bureau, etc.) de ses salariés.
Dans le cas de travail dans un espace de coworking, ça aurait dont été à l'employeur de payer cet espace. Je pense que dans le cas d'un travail à la maison, l'employé aurait du toucher une compensation (probablement forfaitaire) pour tout ça.
Mais je ne retrouve pas cela là en 5 min, du coup soit je l'ai rêvé, soit c'était le « ça devrait être comme ça » d'un pote syndicaliste, soit ça a été enlevé par les ordonnances de 2017 pour rendre le télétravail moins contraignant et plus accessible.
Par contre je me souviens bien avoir discuté avec un mec à qui justement son employeur parisien lui payait au jour sa place dans un espace de coworking provincial ; ça doit donc être possible à mettre en place avec son employeur. Il en était d'ailleurs très content, car il voyait des gens, qui n'étaient pas des collègues, et avait un meilleur cadre de vie qu'à Paris. Par contre, il faisait quand même de la route pour se rendre à l'espace de coworking.
J'aime bien travailler à distance, mais les points qui me gêneraient pour y passer à 100% sont justement ceux liés à l'espace de travail:
mon bureau est petit,
mon fauteuil est tout pourri, et ça commence à se faire sentir au niveau du dos,
j'ai de la moquette au sol, je l'ai défoncée en trois mois bien plus que les 10 ans précédents,
je n'ai pas dimensionné mon ordinateur portable pour bosser dessus,
je ne tiens pas à utiliser mon téléphone personnel dans un contexte pro,
etc.
J'ai les moyens financiers de résoudre la plupart de ces problèmes ; tous les employés éligibles au télétravail probablement pas. (pour la moquette, c'est mon proprio qui sera pas content…).
Je hais les ventilateurs aussi, surtout ceux des portables. Je les accepte, si c'est justifié (que le ventilo tourne à fond quand je compile du code ou que je regarde une vidéo en 4k je comprends, quand le pc ne fait rien d'autre que d'afficher une page web statique ou une misérable conversation teams, cela m'énerve très vite).
Du temps de mon T420s, j'utilisais thinkfan pour contrôler la vitesse de rotation du ventilateur en fonction de la mesure de plusieurs capteurs de température. Le problème du T420s était qu'une fois que tu avais atteint la vitesse de rotation maximale du ventilateur, il y restait (bug du bios je pense, peut-être corrigé par la suite, mais à l'époque les mises à jour de bios étaient beaucoup moins simples qu'aujourd'hui). Aussi, la conf du bios était assez conservative vis à vis des températures maximales, genre 50°C et on déclenchait le ventilo à fond pour revenir à 45. Alors qu'avec thinkfan, qui basiquement est un demon qui manipule /proc/ibm/fan en fonction de la température du pc, tu peux configurer la vitesse du ventilo pour être beaucoup plus progressive (7 niveaux de mémoire), et être plus souple sur les déclencheurs. Je crois que j'avais trouvé des fichiers de configuration sur le net, en cherchant "t420s thinkfan.conf". Cela allait très bien jusqu'à ce que les sites web nécessitent désespérément trop de CPU lorsque l'on scrolle. En 2018 j'en avais marre du ventilo en route trop souvent avec un portable de 2012. Pour info sous windows, TPFanControl fait la même chose.
Aujourd'hui j'ai un T480 avec un i7 et une carte nvidia MX150. La MX150 est désactivée par bbswitch, car sinon rien à faire, même sans utiliser le GPU (par défaut tout sort par le GPU intégré au CPU), ça chauffe trop à mon goût (ventilo en route quasi constamment et chaleur désagréable sur le "palmrest"). Le GPU désactivé, le ventilateur reste courtois et ne s'allume quasiment que lorsque je visite un site web velu, genre facebook ou youtube. La température CPU monte jusqu'à 65°C (jamais vu plus, peut-être lié au "bug" dont je parle plus bas) et le ventilo se met en route à à peu près 3100 tr/m, jusqu'à ce que la température descende à environ 50°C en quelques minutes, et le ventilo se tait. Bref pour moi ce comportement est normal, du coup je n'utilise plus thinkfan sur ce portable.
Sauf que… depuis le confinement, je travaille sur mon portable, et le laisse docké sur un station mécanique (40AJ), et là le comportement est totalement différent. La température du CPU n'a plus l'air d'être le déclencheur du ventilateur, le plus approchant que j'aie réussi à corréler est le senseur pch_skylake, qui déclenche le ventilo à 45°C et s'arrête à 35°C. Le CPU est à 40 tout le long. C'est quasi insupportable ; le bruit du ventilo à 3000tr/min est totalement supportable lorsque l'on est devant le portable, mais très désagréable lorsque l'on est à côté. De 45°C à 35°C c'est long, très long… 35 c'est suspicieusement bas. Je n'ai trouvé aucune solution à ce pb, et je finis par penser que le bios a raison et qu'un autre composant chauffe, mais pour lequel je n'ai pas de senseur exposé par linux (auquel cas le design du refroidissement de ce portable est mauvais) ; ou alors le fait de passer par un écran externe change vraiment la donne.
Il y a également un "bug" connu sur certains thinkpad sous linux, qui est que le contrôle du refroidissement comporte deux modes : sur les genoux et sur une table. Quand le portable est sur une table, normalement le contrôle du refroidissement laisse monter la température plus haut, car il n'y a pas de risque de brûler les cuisses de l'utilisateur. Sauf que cette indication (table vs cuisses) est donné au système par un driver de l'os, qui n'existe pas sous linux. À ma connaissance, cela n'est corrigé que sur certains portables de la gamme et pas le T480 en tout cas (en implémentant la détection au niveau du bios directement).
On trouve énormément d'infos sur ces problèmes en cherchant thinkpad cpu throttling sur reddit ou sur les forums de lenovo, mais plus rarement des solutions :(
En fait, tu connais la source du problème (adresse IP blacklistée), le journal se résume donc à : Microsoft fait comme les autres à blacklister des IP sans avertissement (3 niveaux habituellement : OK, spam potentiel mis dans le dossier spam, spam évident trashé sans avertissement) mais ne publie pas sa liste.
Je dirais que « faire comme les autres », c'est d'envoyer un rejet, et non pas dropper silencieusement. Certains smtp sympas te pointent même vers une url avec les actions à suivre pour ne plus être rejeté (reverse dns, dkim, spf, inscription de ton ip chez eux, rate, etc.) dans le message de rejet. De mémoire c'est ce que fait gmail.
Au vu de la difficulté à correctement cocher toutes les cases pour que gmail accepte de délivrer les mails en provenance de ton smtp perso, si dropper était une bonne pratique, je pense que gmail l'appliquerait ;) (et les admins deviendraient fous, car sans rejet, impossible de trouver la source de l'erreur).
Maintenant, je n'ai pas eu cette expérience de drop avec hotmail ou office365. Chez hotmail la dernière fois que j'ai eu le pb (il y a un an), j'ai bien eu un rejet avec un code d'erreur microsoft, à entrer dans son moteur de recherche préféré pour tomber sur la bonne entrée du knowledge base, elle-même pointant vers un vieux formulaire du fin fond du web sur lequel il fallait inscrire son ip (v4, je crois bien que le formulaire n'acceptait pas les v6). Sur office365 je n'ai eu aucun pb jusqu'à présent (croisons les doigts, de plus en plus de gens s'y mettent).
Mais mon expérience n'est pas forcément représentative, je n'ai que très peu de mails sortants (max une dizaine par mois)… Tant que ça délivre chez gmail et yahoo…
gmail a par contre des comportements assez pénibles. Genre depuis mon serveur, il accepte de délivrer le même mail à 5 contacts gmails en destinataires, mais pas 10. Et puis la semaine d'après ça passe sans rien faire de plus. Je pense que c'est lié à des algos de réputation, où, malheureusement, le petit ne peut rien faire car il n'a pas assez de volume sortant pour se faire une bonne réputation.
Pour le blocage de carte, quand on insère la carte et qu'on demande l'authentification, elle demande "PIN ?", il faut vraiment être bien fatigué pour rater ça :)
De mémoire le lecteur demandait "Code ?" et le site web disait "Entrez ce code sur le lecteur". C'était peut-être "Code CB ?" et j'ai zappé : j'étais effectivement très fatigué ce soir là. C'était aussi une de mes premières utilisations de l'outil, et la mauvaise expérience m'a fait abandonner cette solution immédiatement ;)
(je me demande ce que comprendrait ma grand mère sur "PIN ?", probablement "Appelez votre petit-fils…").
Pour le boîtier, t'en a tjr un a la maison et certaines collègues ont un 2eme au boulot "au cas où" on se le prête sur demande.
Et ce sont les mêmes ? De mémoire sur mon boîtier cyberplus, j'avais 3 types de génération de code différents, et il fallait appuyer sur le bon bouton avec la bonne icône, dépendant de l'opération effectuée sur le site web (la page indiquait quelle icône choisir).
J'imagine qu'avec des boîtiers de marque/source différentes, les icônes ne seraient pas les mêmes… Ça ferait un peu boutons blanc et bleu alors que les fils sont verts et rouges.
Oui il faut avoir la carte bleue, mais bon c'est pas compliqué de l'avoir dans son portefeuille…
Je ne nierai pas que je suis très fainéant et que tous mes arguments contre le boîtier+carte ne tiennent pas contre un simple "Tu ne fais vraiment pas d'effort". C'est vrai.
Quand je ne suis pas chez moi, j'ai la CB sur moi ; quand je suis chez moi, j'ai le lecteur sur le bureau, mais il faut que je me lève pour aller chercher la CB dans une autre pièce. Je suis un peu particulier : étant fainéant mais ayant bonne mémoire, je connais mon numéro de carte bleue par cœur, je n'en ai pas besoin pour payer en ligne. C'est la même chose pour le téléphone : ça me dérange de me lever pour aller le chercher. La différence avec le téléphone c'est qu'une fois récupéré dans une autre pièce, le SMS a déjà été reçu, je n'ai plus qu'à le taper ;)
Attention, je ne suis pas 100% contre la solution boîtier + carte. Si je trouvais une appli libre qui fasse la même chose que le boîtier en utilisant mon lecteur de carte intégré — ou les moyens d'en coder une — je l'utiliserai probablement en lieu et place de l'OTP via SMS. Rien n'oblige à avoir une CB sur un compte courant, donc ce n'est certainement pas applicable à tout le monde, mais ça l'est à mon cas.
Il faut noter que la solution boîtier+carte n'est utilisée que pour la validation supplémentaire sur les opérations une fois loggé. Est-ce justement car l'authentification sur le site est foireuse (mots de passe simples ou enregistrés dans le navigateur?). Dans ce cas là puisque le reste du web a l'air de s'orienter vers webauthn pour pallier les problèmes liés aux mots de passe, pourquoi pas les banques ?
une espèce de calculatrice ou il faut insérer la carte de débit.
Techniquement, c'est ce qui est le plus sécurisé, puisque ça demande 2 facteurs à la fois : la carte physique, et un secret (le code PIN).
En France, les gens rejettent massivement cela. Comme quoi, c'est pas pratique.
J'avais ça (banque populaire) et effectivement ce n'est vraiment pas pratique. Déjà, il faut avoir le lecteur et la carte bleue sur soi. C'est pénible (encore plus que le téléphone, et le téléphone ça m'énerve déjà). Heureusement, il y a le choix vers la méthode code otp sur téléphone. En plus l'utilisation de cette calculette est tellement aisée que j'ai réussi à me bloquer ma CB pour 3 codes faux : sur la page de la banque on demande d'entrer un code sur la calculette, donc j'entre ce code. Sauf que la calculette, elle attend en premier le PIN de la CB, pour débloquer la carte. Soir, fatigué, je n'ai compris qu'au blocage de la carte.
À un moment j'avais essayé de trouver des specs pour coder la même chose et utiliser le lecteur de carte de mon thinkpad, mais soit j'ai mal cherché, soit ce ne sont pas des choses standard.
En ce moment la mode c'est de rendre l'authentification difficile pour les gens sans téléphone et sans handicap. Sur mes trois banques (bp, ce, fortuneo), une seule (fortuneo) me permet de choisir/générer un mot de passe compliqué et de le taper (ou le faire entrer par mon gestionnaire de mot de passes). Non. Il faut que je clique (le clavier c'est pour les chiens) sur un minimum de 8 chiffres arrangés aléatoirement et que je n'oublie pas de couper le son ou d'aller très vite, sinon les chiffres de mon "mot de passe" sont hurlés à la ronde en cas que je sois aveugle.
J'ai 3 banques, je n'ai pas envie d'un système à la con pour chaque. J'ai envie de toucher ma yubikey et voilà. Je ne trouverai pas déconnant que les banques fournissent une clé U2F (ou le nouveau nom pour ça) si leurs clients n'en n'ont pas. Comme la calculette.
Je ne connais pas l'ensemble de l'industrie, mais dans mon cas—où le code n'est pas trop bâclé de base—le gros du travail d'optimisation ce n'est pas tant sur le temps d'exécution du code mais sur la limitation du garbage pour empêcher au maximum le GC de se déclencher et stopper le process pendant 10s. Une grosse source de garbage au début était… les logs.
Alors certes le temps d'exécution a son importance, mais le gros problème est surtout le JIT qui ne permet d'atteindre le temps optimal qu'au bout d'un certain nombre d'itérations. Idéalement il faudrait donc préchauffer la JVM pour que les premiers appels ne prennent pas 400ms et les suivants 2 ; et que tous les appels prennent 2ms.
Ces deux problèmes (temps de pause et warmup) c'est vraiment quelque chose qu'une JVM magique peut significativement changer. Alors j'imagine qu'il ne faut pas jeter les JVM alternatives à la poubelle sans avoir testé dans son cas particulier (et les chiffres dépendent probablement de l'application testée).
Et si cette JVM de course augmentait tellement les performances des applications que son coût serait inférieure au temps nécessaire à optimiser le code ?
L'argument original reste bancal à mon sens, la perf c'est un process en soi : il faut se donner des objectifs, les tester régulièrement pour vérifier qu'un changement dans le code ne le casse pas, etc. donc ça a un coût permanent, quelque soit la jvm utilisée.
Or moi j’utilise une distribution GNU/Linux, Debian pour ne pas la citer. Je n’ai pas de smartphone, je ne vis pas avec mon temps…
J'ai un smartphone mais ça m'énerve de le chercher à chaque fois que je veux me connecter quelque part. Et mes clés TOTP sont stockées sur ma yubikey 4. Du coup j'ai utilisé un temps yubioath-desktop.
Mais cette appli me saoulait grandement car elle cohabite très mal avec gnupg, plus particulièrement gpg-agent. En gros si gpg-agent a été utilisé pour récupérer ma clé gpg sur la yubikey, yubioauth ne marche pas. En plus c'est du qt et ça me fait mal aux yeux dans mon env gnome (je sais c'est mal de rejeter une appli juste à cause de son toolkit graphique, mais voilà). Au même moment je me cherchais un mini projet à faire en python3 + gtk, en conséquence je me suis fait mon propre soft.
Je ne suis pas 100% sûr qu'avoir une appli desktop pour générer des codes TOTP ne va pas totalement à l'encontre de la philosophie du 2FA, mais dans mon cas mes clés sont sur un token physique, et puis ça marche et c'est moins pénible que le smartphone (imho).
Malheureusement, il semblerait que gnome-keyring n'aime pas ce nouveau format :'(
$ ssh remote
Agent admitted failure to sign using the key.
Permission denied (publickey).
Il faut donc le désactiver (pour l'instant je n'ai pas trouvé d'autre moyen que de ne pas "charger les services GNOME" dans xfce) et utiliser le ssh-agent normal, qui malheureusement est quand même moins user-friendly.
Mais bon, vu que gnome-keyring ne supporte pas les autres formats que RSA et DSA c'est peut-être pas plus mal.
J'aimerais un agent unique pour ssh, gpg, etc. qui gère bien les clés elliptiques, smartcard et autres nitro/yubikeys, mais je ne crois pas que ça existe à l'heure actuelle.
Toutefois, si quelqu'un modifie mon logiciel pour son usage perso sans le distribuer […], et en fait un magnifique service en ligne tel que Facebook, cela me pose un problème.
En effet j'aimerai beaucoup que toute amélioration portée à mon travail me soit reversée.
Visiblement, tu cherches à imposer un comportement aux destinataires de tes productions.
Je ne peux m'empêcher de penser aux DRM. Au final le but est le même (imposer quelque chose à celui qui reçoit), avec au résultat le même taux de succès. En effet, une fois que ta production est dans les mains du destinataire, rien ne l'empêche d'en faire ce qu'il veut, mis à part son sens moral. Si la personne ne veut pas te reverser ses modifications, la licence ne sert à rien, tu ne peux pas l'y obliger. Si elle le veut, la licence ne sert à rien, la personne le fera quand même. Au mieux elle peut servir d'indication de ce que tu estimes « bien » au destinataire, et dans ce cas elles ne sont pas adaptées car trop directives (you MUST ou MUST NOT, etc.).
Pour moi la meilleure « licence » c'est le domaine public, au moins tu es sûr que personne ne sera bloqué ; les gens voulant participer le feront. Et je dis ça AUSSI pour textes, photos et vidéos (non privés et que ne contreviennent pas à un droit à l'image d'autres personnes évidemment, auquel cas ils ne devraient pas être publiquement publiés). En signant numériquement ces productions, certes cela n'empêchera personne de se les approprier (mais la licence non plus), mais au moins empêchera une modification d'un autre de pouvoir sembler venir de toi. (D'ailleurs je ne comprends pas que les ebooks ne soient pas systématiquement signés, comment puis-je être certains de lire le texte véritable de l'auteur ?).
Pour ça, il faut déjà penser à brancher le disque. Et puis, si tu branche le disque pour y faire autre chose, il va être saturer d'I/O alors que tu ne veux pas faire de backup
Oui, je supposais que c'était un disque dédié au backup, potentiellement consultable en Read-Only quand on est en vacances par exemple, et stocké ailleurs le reste du temps. Mais tu me fais ouvrir les yeux sur le problème de la restauration avec mon algo. « Tu veux restaurer un fichier ? Nan, je lance le backup avant, c'est moi qui décide ! »
Quant à penser à le brancher, c'est le problème. Mais il se produit aussi avec la notif qui dit "branchez votre disque", car une notif du style, perso, je l'ignore parce que sur le moment je fais autre chose, et je l'oublie après ;) Mais c'est très dépendant du comportement devant un ordinateur, mon comportement étant probablement assez éloigné de celui du sujet ici : la ménagère de moins de 50 ans.
J'aurais dit que ce serait plus intuitif dans l'autre sens : on branche un disque, et ça déclenche la sauvegarde, avec une notif quand c'est fini.
Après pour moi le problème principal c'est d'avoir le beurre et l'argent du beurre: sauvegarde incrémentale, cryptée, avec possibilité de revenir en arrière, tout en ayant la dernier backup accessible (ie. pas de tarbézaide crypté). Pour ça je pensais à un disque crypté, en btrfs, et un algo du style :
brancher le disque => lancement auto du backup
récupération de la clé + montage du volume de backup
delete snapshot trop anciens
faire un nouveau snapshot
rsync
notifier que c'est fini.
bonus ça marche sous debian et c'est intégrable à freenas ;)
Est-ce quelqu'un connaitrait un logiciel faisant cela (sans le faire soi-même) ? Aucun des logiciels que j'ai regardé ne faisaient tout cela, seulement une partie.
Moui enfin le SSL ça protège sur le chemin (quand c'est bien fait, que le DNS est fiable, que tu as un moyen fiable de déterminer si le certificat est valide, etc.) ; mais pas une fois à destination, là où il y'a du Windows, du Chrome, de l'Android ou du SElinux…
Je trouve cette disposition excellente mais j'ai eu du mal à la retrouver dans les propositions de xfce (sous wheezy). Et elle a l'air de s'appeler « Français - Variante obsolète », en tout cas c'est en sélectionnant celle-ci que je retrouve mes combinaisons adorées.
[^] # Re: Vive le télétravail
Posté par Starch . En réponse au journal Télétravail, premier pas vers une délocalisation générale ?. Évalué à 5.
J'étais persuadé que—hors cas exceptionnel comme le confinement—c'était à l'employeur d'assumer les frais du travail à distance (eg. matériel, électricité, accès internet, bureau, etc.) de ses salariés.
Dans le cas de travail dans un espace de coworking, ça aurait dont été à l'employeur de payer cet espace. Je pense que dans le cas d'un travail à la maison, l'employé aurait du toucher une compensation (probablement forfaitaire) pour tout ça.
Mais je ne retrouve pas cela là en 5 min, du coup soit je l'ai rêvé, soit c'était le « ça devrait être comme ça » d'un pote syndicaliste, soit ça a été enlevé par les ordonnances de 2017 pour rendre le télétravail moins contraignant et plus accessible.
Par contre je me souviens bien avoir discuté avec un mec à qui justement son employeur parisien lui payait au jour sa place dans un espace de coworking provincial ; ça doit donc être possible à mettre en place avec son employeur. Il en était d'ailleurs très content, car il voyait des gens, qui n'étaient pas des collègues, et avait un meilleur cadre de vie qu'à Paris. Par contre, il faisait quand même de la route pour se rendre à l'espace de coworking.
J'aime bien travailler à distance, mais les points qui me gêneraient pour y passer à 100% sont justement ceux liés à l'espace de travail:
J'ai les moyens financiers de résoudre la plupart de ces problèmes ; tous les employés éligibles au télétravail probablement pas. (pour la moquette, c'est mon proprio qui sera pas content…).
# thinkfan
Posté par Starch . En réponse au journal Silence ! Contrôler le bruit des ventilos du portable. Évalué à 2.
Je hais les ventilateurs aussi, surtout ceux des portables. Je les accepte, si c'est justifié (que le ventilo tourne à fond quand je compile du code ou que je regarde une vidéo en 4k je comprends, quand le pc ne fait rien d'autre que d'afficher une page web statique ou une misérable conversation teams, cela m'énerve très vite).
Du temps de mon T420s, j'utilisais thinkfan pour contrôler la vitesse de rotation du ventilateur en fonction de la mesure de plusieurs capteurs de température. Le problème du T420s était qu'une fois que tu avais atteint la vitesse de rotation maximale du ventilateur, il y restait (bug du bios je pense, peut-être corrigé par la suite, mais à l'époque les mises à jour de bios étaient beaucoup moins simples qu'aujourd'hui). Aussi, la conf du bios était assez conservative vis à vis des températures maximales, genre 50°C et on déclenchait le ventilo à fond pour revenir à 45. Alors qu'avec thinkfan, qui basiquement est un demon qui manipule /proc/ibm/fan en fonction de la température du pc, tu peux configurer la vitesse du ventilo pour être beaucoup plus progressive (7 niveaux de mémoire), et être plus souple sur les déclencheurs. Je crois que j'avais trouvé des fichiers de configuration sur le net, en cherchant "t420s thinkfan.conf". Cela allait très bien jusqu'à ce que les sites web nécessitent désespérément trop de CPU lorsque l'on scrolle. En 2018 j'en avais marre du ventilo en route trop souvent avec un portable de 2012. Pour info sous windows, TPFanControl fait la même chose.
Aujourd'hui j'ai un T480 avec un i7 et une carte nvidia MX150. La MX150 est désactivée par bbswitch, car sinon rien à faire, même sans utiliser le GPU (par défaut tout sort par le GPU intégré au CPU), ça chauffe trop à mon goût (ventilo en route quasi constamment et chaleur désagréable sur le "palmrest"). Le GPU désactivé, le ventilateur reste courtois et ne s'allume quasiment que lorsque je visite un site web velu, genre facebook ou youtube. La température CPU monte jusqu'à 65°C (jamais vu plus, peut-être lié au "bug" dont je parle plus bas) et le ventilo se met en route à à peu près 3100 tr/m, jusqu'à ce que la température descende à environ 50°C en quelques minutes, et le ventilo se tait. Bref pour moi ce comportement est normal, du coup je n'utilise plus thinkfan sur ce portable.
Sauf que… depuis le confinement, je travaille sur mon portable, et le laisse docké sur un station mécanique (40AJ), et là le comportement est totalement différent. La température du CPU n'a plus l'air d'être le déclencheur du ventilateur, le plus approchant que j'aie réussi à corréler est le senseur pch_skylake, qui déclenche le ventilo à 45°C et s'arrête à 35°C. Le CPU est à 40 tout le long. C'est quasi insupportable ; le bruit du ventilo à 3000tr/min est totalement supportable lorsque l'on est devant le portable, mais très désagréable lorsque l'on est à côté. De 45°C à 35°C c'est long, très long… 35 c'est suspicieusement bas. Je n'ai trouvé aucune solution à ce pb, et je finis par penser que le bios a raison et qu'un autre composant chauffe, mais pour lequel je n'ai pas de senseur exposé par linux (auquel cas le design du refroidissement de ce portable est mauvais) ; ou alors le fait de passer par un écran externe change vraiment la donne.
Il y a également un "bug" connu sur certains thinkpad sous linux, qui est que le contrôle du refroidissement comporte deux modes : sur les genoux et sur une table. Quand le portable est sur une table, normalement le contrôle du refroidissement laisse monter la température plus haut, car il n'y a pas de risque de brûler les cuisses de l'utilisateur. Sauf que cette indication (table vs cuisses) est donné au système par un driver de l'os, qui n'existe pas sous linux. À ma connaissance, cela n'est corrigé que sur certains portables de la gamme et pas le T480 en tout cas (en implémentant la détection au niveau du bios directement).
On trouve énormément d'infos sur ces problèmes en cherchant thinkpad cpu throttling sur reddit ou sur les forums de lenovo, mais plus rarement des solutions :(
[^] # Re: Source?
Posté par Starch . En réponse au journal Le service messagerie Microsoft Outlook.com détruit silencieusement vos e-mails. Évalué à 10. Dernière modification le 12 juin 2020 à 11:48.
Je dirais que « faire comme les autres », c'est d'envoyer un rejet, et non pas dropper silencieusement. Certains smtp sympas te pointent même vers une url avec les actions à suivre pour ne plus être rejeté (reverse dns, dkim, spf, inscription de ton ip chez eux, rate, etc.) dans le message de rejet. De mémoire c'est ce que fait gmail.
Au vu de la difficulté à correctement cocher toutes les cases pour que gmail accepte de délivrer les mails en provenance de ton smtp perso, si dropper était une bonne pratique, je pense que gmail l'appliquerait ;) (et les admins deviendraient fous, car sans rejet, impossible de trouver la source de l'erreur).
Maintenant, je n'ai pas eu cette expérience de drop avec hotmail ou office365. Chez hotmail la dernière fois que j'ai eu le pb (il y a un an), j'ai bien eu un rejet avec un code d'erreur microsoft, à entrer dans son moteur de recherche préféré pour tomber sur la bonne entrée du knowledge base, elle-même pointant vers un vieux formulaire du fin fond du web sur lequel il fallait inscrire son ip (v4, je crois bien que le formulaire n'acceptait pas les v6). Sur office365 je n'ai eu aucun pb jusqu'à présent (croisons les doigts, de plus en plus de gens s'y mettent).
Mais mon expérience n'est pas forcément représentative, je n'ai que très peu de mails sortants (max une dizaine par mois)… Tant que ça délivre chez gmail et yahoo…
gmail a par contre des comportements assez pénibles. Genre depuis mon serveur, il accepte de délivrer le même mail à 5 contacts gmails en destinataires, mais pas 10. Et puis la semaine d'après ça passe sans rien faire de plus. Je pense que c'est lié à des algos de réputation, où, malheureusement, le petit ne peut rien faire car il n'a pas assez de volume sortant pour se faire une bonne réputation.
[^] # Re: En Suisse
Posté par Starch . En réponse au journal L’authentification molasse. Évalué à 2.
De mémoire le lecteur demandait "Code ?" et le site web disait "Entrez ce code sur le lecteur". C'était peut-être "Code CB ?" et j'ai zappé : j'étais effectivement très fatigué ce soir là. C'était aussi une de mes premières utilisations de l'outil, et la mauvaise expérience m'a fait abandonner cette solution immédiatement ;)
(je me demande ce que comprendrait ma grand mère sur "PIN ?", probablement "Appelez votre petit-fils…").
Et ce sont les mêmes ? De mémoire sur mon boîtier cyberplus, j'avais 3 types de génération de code différents, et il fallait appuyer sur le bon bouton avec la bonne icône, dépendant de l'opération effectuée sur le site web (la page indiquait quelle icône choisir).
J'imagine qu'avec des boîtiers de marque/source différentes, les icônes ne seraient pas les mêmes… Ça ferait un peu boutons blanc et bleu alors que les fils sont verts et rouges.
Je ne nierai pas que je suis très fainéant et que tous mes arguments contre le boîtier+carte ne tiennent pas contre un simple "Tu ne fais vraiment pas d'effort". C'est vrai.
Quand je ne suis pas chez moi, j'ai la CB sur moi ; quand je suis chez moi, j'ai le lecteur sur le bureau, mais il faut que je me lève pour aller chercher la CB dans une autre pièce. Je suis un peu particulier : étant fainéant mais ayant bonne mémoire, je connais mon numéro de carte bleue par cœur, je n'en ai pas besoin pour payer en ligne. C'est la même chose pour le téléphone : ça me dérange de me lever pour aller le chercher. La différence avec le téléphone c'est qu'une fois récupéré dans une autre pièce, le SMS a déjà été reçu, je n'ai plus qu'à le taper ;)
Attention, je ne suis pas 100% contre la solution boîtier + carte. Si je trouvais une appli libre qui fasse la même chose que le boîtier en utilisant mon lecteur de carte intégré — ou les moyens d'en coder une — je l'utiliserai probablement en lieu et place de l'OTP via SMS. Rien n'oblige à avoir une CB sur un compte courant, donc ce n'est certainement pas applicable à tout le monde, mais ça l'est à mon cas.
Il faut noter que la solution boîtier+carte n'est utilisée que pour la validation supplémentaire sur les opérations une fois loggé. Est-ce justement car l'authentification sur le site est foireuse (mots de passe simples ou enregistrés dans le navigateur?). Dans ce cas là puisque le reste du web a l'air de s'orienter vers webauthn pour pallier les problèmes liés aux mots de passe, pourquoi pas les banques ?
[^] # Re: En Suisse
Posté par Starch . En réponse au journal L’authentification molasse. Évalué à 5.
J'avais ça (banque populaire) et effectivement ce n'est vraiment pas pratique. Déjà, il faut avoir le lecteur et la carte bleue sur soi. C'est pénible (encore plus que le téléphone, et le téléphone ça m'énerve déjà). Heureusement, il y a le choix vers la méthode code otp sur téléphone. En plus l'utilisation de cette calculette est tellement aisée que j'ai réussi à me bloquer ma CB pour 3 codes faux : sur la page de la banque on demande d'entrer un code sur la calculette, donc j'entre ce code. Sauf que la calculette, elle attend en premier le PIN de la CB, pour débloquer la carte. Soir, fatigué, je n'ai compris qu'au blocage de la carte.
À un moment j'avais essayé de trouver des specs pour coder la même chose et utiliser le lecteur de carte de mon thinkpad, mais soit j'ai mal cherché, soit ce ne sont pas des choses standard.
En ce moment la mode c'est de rendre l'authentification difficile pour les gens sans téléphone et sans handicap. Sur mes trois banques (bp, ce, fortuneo), une seule (fortuneo) me permet de choisir/générer un mot de passe compliqué et de le taper (ou le faire entrer par mon gestionnaire de mot de passes). Non. Il faut que je clique (le clavier c'est pour les chiens) sur un minimum de 8 chiffres arrangés aléatoirement et que je n'oublie pas de couper le son ou d'aller très vite, sinon les chiffres de mon "mot de passe" sont hurlés à la ronde en cas que je sois aveugle.
J'ai 3 banques, je n'ai pas envie d'un système à la con pour chaque. J'ai envie de toucher ma yubikey et voilà. Je ne trouverai pas déconnant que les banques fournissent une clé U2F (ou le nouveau nom pour ça) si leurs clients n'en n'ont pas. Comme la calculette.
[^] # Re: Argument fallacieux
Posté par Starch . En réponse au journal quand Oracle fait les affaires de Azul.. Évalué à 4. Dernière modification le 21 août 2018 à 10:25.
Je ne connais pas l'ensemble de l'industrie, mais dans mon cas—où le code n'est pas trop bâclé de base—le gros du travail d'optimisation ce n'est pas tant sur le temps d'exécution du code mais sur la limitation du garbage pour empêcher au maximum le GC de se déclencher et stopper le process pendant 10s. Une grosse source de garbage au début était… les logs.
Alors certes le temps d'exécution a son importance, mais le gros problème est surtout le JIT qui ne permet d'atteindre le temps optimal qu'au bout d'un certain nombre d'itérations. Idéalement il faudrait donc préchauffer la JVM pour que les premiers appels ne prennent pas 400ms et les suivants 2 ; et que tous les appels prennent 2ms.
Ces deux problèmes (temps de pause et warmup) c'est vraiment quelque chose qu'une JVM magique peut significativement changer. Alors j'imagine qu'il ne faut pas jeter les JVM alternatives à la poubelle sans avoir testé dans son cas particulier (et les chiffres dépendent probablement de l'application testée).
L'argument original reste bancal à mon sens, la perf c'est un process en soi : il faut se donner des objectifs, les tester régulièrement pour vérifier qu'un changement dans le code ne le casse pas, etc. donc ça a un coût permanent, quelque soit la jvm utilisée.
# Application desktop
Posté par Starch . En réponse au journal Reddit a subi une attaque informatique. Évalué à 5.
J'ai un smartphone mais ça m'énerve de le chercher à chaque fois que je veux me connecter quelque part. Et mes clés TOTP sont stockées sur ma yubikey 4. Du coup j'ai utilisé un temps yubioath-desktop.
Mais cette appli me saoulait grandement car elle cohabite très mal avec gnupg, plus particulièrement gpg-agent. En gros si gpg-agent a été utilisé pour récupérer ma clé gpg sur la yubikey, yubioauth ne marche pas. En plus c'est du qt et ça me fait mal aux yeux dans mon env gnome (je sais c'est mal de rejeter une appli juste à cause de son toolkit graphique, mais voilà). Au même moment je me cherchais un mini projet à faire en python3 + gtk, en conséquence je me suis fait mon propre soft.
J'ai jeté le code sur framagit des fois ça intéresse des gens. C'est pas très propre, c'est pas très intuitif, il y a des bugs non corrigés depuis trop longtemps, mais chez-moi-ça-marchotte© (debian testing avec gnome). Pas besoin de yubikey, par défaut ça stocke les clés dans le keyring de l'user.
Je ne suis pas 100% sûr qu'avoir une appli desktop pour générer des codes TOTP ne va pas totalement à l'encontre de la philosophie du 2FA, mais dans mon cas mes clés sont sur un token physique, et puis ça marche et c'est moins pénible que le smartphone (imho).
[^] # Re: Potentiellement très sérieux
Posté par Starch . En réponse au journal Faille critique sous Firefox: faut-il changer ses mots de passe?. Évalué à 3.
Malheureusement, il semblerait que gnome-keyring n'aime pas ce nouveau format :'(
Il faut donc le désactiver (pour l'instant je n'ai pas trouvé d'autre moyen que de ne pas "charger les services GNOME" dans xfce) et utiliser le ssh-agent normal, qui malheureusement est quand même moins user-friendly.
Mais bon, vu que gnome-keyring ne supporte pas les autres formats que RSA et DSA c'est peut-être pas plus mal.
J'aimerais un agent unique pour ssh, gpg, etc. qui gère bien les clés elliptiques, smartcard et autres nitro/yubikeys, mais je ne crois pas que ça existe à l'heure actuelle.
# Pourquoi s'acharner à vouloir apposer une licence ?
Posté par Starch . En réponse au journal Aidez moi à choisir mes licences !. Évalué à 0. Dernière modification le 30 octobre 2013 à 19:01.
Visiblement, tu cherches à imposer un comportement aux destinataires de tes productions.
Je ne peux m'empêcher de penser aux DRM. Au final le but est le même (imposer quelque chose à celui qui reçoit), avec au résultat le même taux de succès. En effet, une fois que ta production est dans les mains du destinataire, rien ne l'empêche d'en faire ce qu'il veut, mis à part son sens moral. Si la personne ne veut pas te reverser ses modifications, la licence ne sert à rien, tu ne peux pas l'y obliger. Si elle le veut, la licence ne sert à rien, la personne le fera quand même. Au mieux elle peut servir d'indication de ce que tu estimes « bien » au destinataire, et dans ce cas elles ne sont pas adaptées car trop directives (you MUST ou MUST NOT, etc.).
Pour moi la meilleure « licence » c'est le domaine public, au moins tu es sûr que personne ne sera bloqué ; les gens voulant participer le feront. Et je dis ça AUSSI pour textes, photos et vidéos (non privés et que ne contreviennent pas à un droit à l'image d'autres personnes évidemment, auquel cas ils ne devraient pas être publiquement publiés). En signant numériquement ces productions, certes cela n'empêchera personne de se les approprier (mais la licence non plus), mais au moins empêchera une modification d'un autre de pouvoir sembler venir de toi. (D'ailleurs je ne comprends pas que les ebooks ne soient pas systématiquement signés, comment puis-je être certains de lire le texte véritable de l'auteur ?).
[^] # Re: Récurrence
Posté par Starch . En réponse à la dépêche Areca Backup, la sauvegarde graphique pour la ménagère de moins de 50 ans. Évalué à 1.
Oui, je supposais que c'était un disque dédié au backup, potentiellement consultable en Read-Only quand on est en vacances par exemple, et stocké ailleurs le reste du temps. Mais tu me fais ouvrir les yeux sur le problème de la restauration avec mon algo. « Tu veux restaurer un fichier ? Nan, je lance le backup avant, c'est moi qui décide ! »
Quant à penser à le brancher, c'est le problème. Mais il se produit aussi avec la notif qui dit "branchez votre disque", car une notif du style, perso, je l'ignore parce que sur le moment je fais autre chose, et je l'oublie après ;) Mais c'est très dépendant du comportement devant un ordinateur, mon comportement étant probablement assez éloigné de celui du sujet ici : la ménagère de moins de 50 ans.
[^] # Re: Récurrence
Posté par Starch . En réponse à la dépêche Areca Backup, la sauvegarde graphique pour la ménagère de moins de 50 ans. Évalué à 2.
J'aurais dit que ce serait plus intuitif dans l'autre sens : on branche un disque, et ça déclenche la sauvegarde, avec une notif quand c'est fini.
Après pour moi le problème principal c'est d'avoir le beurre et l'argent du beurre: sauvegarde incrémentale, cryptée, avec possibilité de revenir en arrière, tout en ayant la dernier backup accessible (ie. pas de tarbézaide crypté). Pour ça je pensais à un disque crypté, en btrfs, et un algo du style :
Est-ce quelqu'un connaitrait un logiciel faisant cela (sans le faire soi-même) ? Aucun des logiciels que j'ai regardé ne faisaient tout cela, seulement une partie.
[^] # Re: Moui
Posté par Starch . En réponse au journal [non-troll] Faire confiance à (N)S(A)ELinux ou aux *BSD ?. Évalué à 1.
Moui enfin le SSL ça protège sur le chemin (quand c'est bien fait, que le DNS est fiable, que tu as un moyen fiable de déterminer si le certificat est valide, etc.) ; mais pas une fois à destination, là où il y'a du Windows, du Chrome, de l'Android ou du SElinux…
[^] # Re: C'est pas faux
Posté par Starch . En réponse au journal De la honte que constitue le clavier français et des actions à entreprendre pour y remédier. Évalué à 1.
Yep tu as raison. Ce chooser de xfce a l'air buggé. Même si je choisis bepo j'ai toujours un azerty… Désolé pour le bruit.
[^] # Re: C'est pas faux
Posté par Starch . En réponse au journal De la honte que constitue le clavier français et des actions à entreprendre pour y remédier. Évalué à 1.
Je trouve cette disposition excellente mais j'ai eu du mal à la retrouver dans les propositions de xfce (sous wheezy). Et elle a l'air de s'appeler « Français - Variante obsolète », en tout cas c'est en sélectionnant celle-ci que je retrouve mes combinaisons adorées.