-1- Les VM ne sont pas 100% portable pour une raison simple, si on fait des choses pointus, on a toujours des classes spécifiques à l'OS. En fait, il n'y a pas bien grande différence à coder sur une VM ou avec des librairies portables. Cependant, en ne travaillant pas sur une VM, on peut aussi tester d'auters compilateurs. Tu vas me dire qu'il y a plusieurs VM. Certes... Donc au final, cela ne change pas grand chose.
La différence entre une VM comme java et un environnement comme le couple gcc+Qt par exemple, c'est qu'il n'y a pas les mêmes moyens dessus ! Plus tu as de moyens, plus tu es capable de faire de test et de valider ton environement sur du multiplateforme.
Tiens un exemple qui me revient en mémoire. J'ai un onduleur dont le programme de pilotage est en java. Et bien la boite qui vends cet onduleur ne valide pas son logiciel pour une machine Itanium ! Pourtant, c'est pas bien compliqué comme programme, c'est juste des appels SNMP sur l'onduleur... Un bête programme en Perl ou en C serait plus portable que celui en java.
-2- Si on change d'OS et de compilateur, on a la chance de voir plein d'erreur. Mais il faut aussi changer de compilateur, si tu restes sur GNU, cela ne change souvent pas grand chose.
Je me souviens de programmes en fortran qui étaient pourtant bien codé et lisible, qui donnaient les bons résultats et dont on a trouvé des bogues monstrueux rien qu'en changeant de compilateur. On se demande parfois comment le résultat pouvait être juste avec l'autre version de compilateur !
On rentre dans une période de vote dans mon laboratoire, il y a une commission électorale formé de 3 personnes, tout le monde leur fait confiance... Si jamais elles trichaient, ce serait une faute TRES grave. En pratique, ce type de vote ne pose de problème de conscience à personne.
Faire un truc plus lourd avec la seule bonne volonté pour dépouiller signifie en pratique pas d'élection en interne ! Encore une fois, il ne faut pas confondre l'election du président de la république et des députés avec toutes les autres élections.
Je finit donc par une question simple : " Remets-tu en cause la légitimité du leader de debian ? "
A mon avis, il ne sais pas ce qu'il veut. Du libre 100% mais fait par des gens payés, des bleeding edge mais archi stable, pas d'installation tous les 4 matins...
En plus, c'est bien de vouloir Apache-2.2.9 plutôt que la 2.2.3 mais il faut une raison derrière. Qu'elles sont les nouvelles focntionalités du dernier dont tu as absolument besoin ?
Ensuite, tu sors des arguments foireux que debian modifie les paquets originaux ! Mais toutes les distributions font cela. Par exemple, debian est un contributeur majeur sur l'aspect multiplateforme. Si tu as développé un peu du code sur 3 processeurs différents, tu sais que faire cela permet de découvrir plein de bogue...
Donc certe, debian modifie les paquets. Certes, debian a fait une énorme bourde avec openssl et PERSONNE ne l'a vu pendant plusieurs années. Mais elle a été corrigé, rendu publique, tout cela en restant dans la philosophie du libre. Et je n'ai pas connaissance d'une attaque en masse contre les machines debian qui aurait permis a des pirates d'en prendre le controle.
Donc, au final, ce mini crack chez debian a été plus bien géré et va permette d'avoir des procedures qui évite ce genre de chose dans l'avenir. Mais il y en aura d'autres, c'est inévitable. D'ailleurs, red-hat a aussi mis des bogues (moins grave) dans ses paquets et pourtant, ce sont des pros ! Et puis, le protocole DNS avait aussi un bogue ! Putain merde, le pilié d'internet... et tu l'utilises encore.
A mon avis, fixe toi sur une distribution et commence par gérer un parc de 40 machines, tant serveur que de bureau, sur 4 ans et on en reparle.
Finalement, tu as l'air de l'aimé plutôt la debian. Ton problème me semble être sur un nombre réduit de paquet comme Gimp et justement, il y a les backports pour cela.
Bref, pourquoi les balayer comme cela en une seule phrase sèche ?
Les personnes dans une boite font confiance aux administrateurs systèmes et réseaux. Et pourtant, il est très facile pour nous d'aller lire des documents confidentiels...
Qu'est ce qui protège les personnes de leur administrateur système ?
-1- l'OS. C'est la stratégie prise par Microsoft avec NT de dire que root n'a pas tous les pouvoirs notament de voir les documents des utilisateurs. En pratique, c'est parfois très chiantcar cela nous empêche de faire notre boulot.
-2- la loi. Un administrateur système est pénalement responsable. Il est déjà arrivé au CNRS par exemple qu'un adminsitrateur système se retrouve devant la justice pour avoir diffusé un document sans autorisation de la personne.
Pour un certain nombre de vote, le vote électronique marche très bien. Qui remet en cause le leader de debian ? Pourtant debian utilise le vote électronique. Si les administrateurs debian qui gère le système de vote trichent un jour, ils risquent très gros. Quel est leur intérêt de tricher ?
C'est pareil pour tout un tas de vote en entreprise. Le vote électronique permet de plus consulter, de pouvoir plus s'appuyer sur la démocratie directe.
Ceux qui veulent des urnes sont-ils près à aller toutes les semaines les vider et faire de dépouillement ?
Avec le vote électronique, on peux aussi mettre en place les votes de type condorcet (utilisés chez debian). Ce genre de système est quasiment impossible à mettre en place avec une urne.
J'ai connu à la fac le système de vote par liste majoritaire ou on avait le droit de barrer des noms et d'en rajouter !! Il fallait trois jours pour dépouiller cette horreur et on finissait par même plus vraiment savoir pour qui on votait exactement.
Le vote électronique est basé en interne dans une structure de type entreprise sur la confiance dans les administrateurs systèmes et réseaux. Ils sont pénalement responsable et sont, sur un certain nombre de point, indépendant de leur direction directe.
Travaillant dans un laboratoire CNRS, il y a un certain nombre d'ordre que mon directeur peut me donner que je n'exécuterait jamais, car elle ne sont pas de son resort. Il faut arrêter de croire que le directeur a tous les pouvoirs.
Parfois, pour faire avancer le débat, on est obliger de balancer des phrases un peu (trop) choc qui oblige à se rendre compte de l'absurdité de notre situation actuelle. Mais rassure toi, je n'en veux pas aux pompistes que je respecte beaucoup (quand j'en vois encore), c'est une image d'épinal comme la tienne que je te renvoyais.
L'Homme d'hier en Occident a eu beaucoup de mal a accueillir les noirs. L'Homme actuel a beaucoup de mal a accueillir ses cousins grands singes qui lui sont ses plus proches parents au sens génétique. L'Homme de demain aura certainement du mal a accueillir les autres espèces...
Un bouquin qui parle un peu de cela est : Les prairies bleus, d'Athur Clarke.
Pour ce qui est du QI, les expériences sur les autres grands singes sont assez étonnantes, mais elles manquent de continuité car justement les résultats pourraient trop déranger.
Pour conclure, je ne suis pas végétarien pour rien ;-)
Les votes aux CNRS pour les différentes élections se font via des enveloppes que l'on envoi. Il n'y a pas d'urnes. Des personnes récupèrent les enveloppes, les ouvrent, prennent la seconde enveloppe et la mette dans l'urne...
Bref, tout cela se fait sans les agents autour... On fait confiance dans les personnes qui gèrent le vote.
Que le vote électronique soit un problème sur des élections sensibles ou les garants de l'état sont en jeu, je suis d'accord.
Sur des votes ou les garants du vote n'ont aucun intérêt dans celui-ci, je me pose la question. Si le vote électronique permet d'avoir un taux d'abstension bien plus faible... est-ce réellement pire ?
L'important, c'est que les représentants représentent. On peut faire des règles démocratiques avec des urnes et tout et tout, qui pourtant ne réprésente pas pour autant. Un exemple flagrant est le Sénat qui ne bouge pas de bords depuis 50 ans !
Vaut-il mieux un vote électronique juste ou des règles foireuses comme au sénat ?
Le problème est que ce genre de phrase est pérojative envers les autres grands singes. L'Homme a un problème depuis longtemps : partager avec son voisin.
Aujourd'hui, on sais que les autres grands singes sont loin d'être des idiots et que, si on se donnait la peine, il y en a pas mal qui pourraient atteindre le QI du pompiste moyen de l'amérique profonde (moi aussi, je sors ici une phrase toue faite). Bref, on se retrouve face a un dilemme que nous avons déjà eu il y a quelques sciècles avec les noirs ; il faut leur faire de la place et partager les richesses de la planête.
Nos gouvernements (et pas mal de citoyens) ne sont pas prêt à cela.
Pour finir, on n'est pas cousins des grands singes, on est des grands singes ! On est donc cousins des AUTRES grands singes.
Une boite de dialogue compréhensible par les utilisateurs ! Les 3/4 des mes utilisateurs n'ont pas vu cette fonctionalité car elle est planquée en tout petit au bas de la boite.
> En conclusion, SSL sert a 2 choses:
> - Authentification d'une ou des deux parties (handshake)
> - Confidentialite et non alteration en chemin des donnees
> echangees (chiffrement de la communication)
Je ne dis pas le contraire. je dis simplement que l'on pourrait faire du HTTPS comme du SSH et donc d'avoir à valider la PREMIERE fois le certificat.
Dans tes exemples, tu montres bien que tu vas toujours sur les mêmes sites et que ce nombre est finalement en quantité réduite. Ton navigateur pourrait donc stocker ce certificat d'une session à l'autre (il le fait déjà) et gérer le changement de ce certificat à la date de prescription (a ma connaissance, non géré aujourd'hui).
Pour ce qui est des mots de passe, je suis d'accord avec toi mais cela n'a rien à voir avec le problème évoqué plus haut. Qu'un site utilise un certificat signé par verisign ou non, aujourd'hui, ces sites publiques ne font pas d'authentification de l'utilisateur par certificat,
Je ne connais que deux entités qui font cela, les impôts et le CNRS et ils ont tous les deux leur propre autorités de certification à ma connaissance (pour le CNRS, c'est sur) !
Donc, ne nous trompons pas de débat, je ne suis pas fanatique des certificat payant, pas du reste.
Sinon, pour ce qui est de vérifier les clients par certificat, le système du CNRS est un semi-échec. Il est peu utilisé sauf certain milieu. Je vois dans mon laboratoire, sur 150 personnes, nous ne sommes que 3 a avoir un certificat et je n'ai pas du tout envie de déloyer la technologie à l'échelle du laboratoire. C'est trop de boulot pour une sécurité dont je ne suis pas sur qu'elle serait meilleure à la fin, les personnes ayant leur certificat 'en clair' sur leur disque ou dans leur clef USB qui traine dans le sac de l'odinateur portable.
Je parle en règle général et tu me parles de banque. Il est clair qu'une banque doit se protéger contre les attaques DNS mais dans la grande majorité des cas, je doute que nous subissions tant que cela d'attaque DNS.
Mais encore une fois, c'est du feeling et je n'ai pas les chiffres. Je vois seulement que ma boite mail est innondé de pourriel ayant des faux noms DNS.
> Ces éléments de sécurité ... ont vu leur propagation empêchée par
> les brevets.
Il ne faut pas non plus exagérer. Pour moi, aucun des éléments que tu cites sont vraiment fondamental.
Par ailleurs, le brevet n'a pas pour but le monopole car tu peux acheter une licence d'exploitation. Si les autres constructeur dans tes exemples n'ont pas voulu payé une licence, c'est que pour eux ces éléments n'était pas fondamentaux !
Pour parler voiture, sais-tu que l'ABS n'est pas un élément de sécurité ! En effet, en Allemagne, au début de l'ABS, les voitures équipés de l'ABS avait droit à une réduction d'assurance. Au bout de quelques années, un bilan a été fait en comparant les voitures avec et les voitures sans en terme de quantité, de gravité... d'accident. La conclusion est que l'ABS ne sers à rien ! La réduction d'assurance a été alors supprimée en allemagne...
Pourquoi ? Parce qu'un élément qui semble de sécurité peut ne pas l'être dans un environnement social ou des milliers de personnes se croisent.
Alors, parler d'éléments de sécurité en évoquant le levier de comande de l'auto-radio, etc. je ne suis pas sur que cela ne soit pas du superflu ! Ce genre de chose mérite une étude globale que je suis incapable de faire.
> 5 ans ne seraient-ils pas largement suffisants ?
Tu as une vision informatique des choses. En informatique, les choses évoluent TRES TRES vite et par ailleurs, les volumes sont énormes. Pour tous ce qui est logiciels (donc normalement sans brevet), le coùt de reproduction est quasi-nul.
Mais cette vision est fausse dans la majorité des cas. Concevoir et fabriquer des pièces coùtent chère. Les constructeurs automobile prennent des risques financier énorme à chaque modèle (c'est pour cela qu'ils recopient tous la 205 !)...
Etant dans un laboratoire de recherche publique, je peux te dire qu'entre un dépot de brevet et le début de la rentrée d'argent, il se passe souvent plus de 5 ans. Donc pendant les cinq premières années, ton brevet te coute et tu dois investir au risque de ne rien avoir à la fin. D'ailleurs, mon laboratoire a queques brevets et ce ne sont pas eux qui me paye mon salaire ;-)
Comme il a été dis, le brevet protège les PME et les inventions. 20 ans, ce n'est pas si long que cela. Il faut aussi savoir reprendre le temps de vivre. On n'est pas là sur terre pour l'épuiser de notre existence. J'ai des gamins et je ne souhaite pas que le monde soit totalement différent d'aujourd'hui lorsqu'il seront grand. Ne nous calons pas sur l'informatique et prenons le temps de voir celui-ci passer.
Pour finir, un noeud du problème à mon avis ne sont pas les brevets mais que les dirigeants des grosses entreprises gagnent plus d'argent que ce qu'ils transpirent réellement et plus que leur responsabilité réelle. On se retrouve donc aujourd'hui avec une castre de seigneur féodaux qui vont se transmettre de père en fils et qui prélève leur dîme indépendament de leur mérite.
Un autre noeud est que les autorités laissent la mise en place de monopole privé malgré les règles antitrusts. Les monopoles essayent alors de garder leur monopole (et ceux de leur dirigeants) en partie via les brevets mais surtout en modifiant si possible les lois dans les pays pour les mettre a leur sauce.
Exemple : Dans le temps, Alstom (et la SNCF) en France et Siemens en Allemagne avaient chacun un monopole sur la construction des trains dans leur pays respectf du fait que les réglements francais et allemand étaient très différents et adpatés aux savoirs des deux entreprises.
C'était pareil pour les pèses personnes...
Bref, le brevet t'oblige à expliquer au monde entier ton invention, te protège pour une durée limité (loin des 50 ans du droit d'auteur qui démarre après la mort de celui-ci). Il me semble qu'on devrait obliger la vente de licence d'exploitation d'un brevet à un prix 'raisonable' et plus réguler la taille des entreprises (antitrust) et surtout agir sur les hauts salaires (SMAX : Salaire Maximum, par exemple un SMAX a 100 SMIC me parait raisonable).
Il y a une différence, c'est que le brevet, tu dois payer tous les ans et pour chaque pays... Il faut donc le rentabiliser ! Bref, cela sers à se protéger mais aussi à vendre des licences d'exploitation.
A pars quelques cas, le brevet me semble taillé pour les entreprises qui fabrique des choses matérielles et il me semble normal que le brevet puisse donc appartenir à l'entreprise. D'autant plus que contrairement au droit d'auteur, la protection est limité dans le temps (20 ans si mes souvenirs sont bons) alors que le droit d'auteur dure beaucoup trop longtemps après la mort de l'auteur.
En fait, la limite actuelle de Linux est à 1024 coeurs par machine. Y-a bien SGI qui a un patch qui lui permet de dépasser cette limite, mais je ne suis pas sur que celui-ci intéresse madame Michu ;-)
> On dirait que les scientifiques d'aujourd'hui ont changés.
Oui, pas mal de chose ont changés...
Il suffit de lire le journal du CNRS, on te parle brevet à toutes les pages (j'exagère à pein).
Il suffit de voir l'évaluation des chercheurs : de plus en plus de bibliométrie (et de publications creuses), de plus en plus d'importance pour les brevets...
Il suffit de voir le budget des laboratoires. Sans argent privé, une grande partie des laboratoires publiques qui ont des recherches dans le domaine des sciences pour l'ingénieur pourraient mettre la clef sous la porte dès demain.
Contrat privé, innovation... Tu es obligé de brevetter pour assurer une partie de ton gagne pain.
Bref, on est souvent loin de l'idéal qui se cache sous le terme d'université !
PS : les ressources du CNRS provenant de la vente des brevets est loin d'être négligeable dans le budget global même si comme cela, de brut en blanc, je ne me souviens plus de la valeur.
PPS : si un jour le CNRS devient rentable, l'état ponctionnera dedans pour financer les budgets illimités de l'Elysée, de la chambre des députés, du sénat ainsi que des anciens combattants de ces institutions ;-)
> C'est bien d'avoir confiance, mais si je me met entre toi et LinuxFr, tu
> accepteras mon certificat sans t'en rendre compte et je pourrai
> alors voir tout ce que tu fais. Sécurité faible.
Tu n'as pas bien lu ce que je propose à mon avis. Tu es en train de me dire que SSH est faible car je propose non pas de virer la signature d'un certificat mais d'avoir une autre voie qui en plus ou en parallèle ferait les mêmes vérifications que SSH.
Enfin, je dis que la méthode de la signature va tendre à la fin à avoir les organismes qui valident aussi le contenu du site web car cette méthode ne contre en rien les faux site web qui prennent des noms proches des vrais.
Bref, cela fait très contrôle centralisé et minitel 3 !
Alors moi je te dis : OK, vas y, fait moi du DNS poisoning !
Qu'est ce qui est plus facile aujourd'hui, le DNS poisoning ou faire des faux sites sur des noms DNS bidons que les autorités de l'internet ont accepté sans se rendre compte du danger (je parle des noms DNS en UTF8 or ASCII). Bref, j'ai comme des doutes sur les autorités auxquelles tu fais référence. Il arrive à tous des faire des erreurs. Ces autorités ont un but qui est de faire de l'argent et de transformer internet en autoroute à péage... Ainsi, ils auront la dîme tant désirée. Cet internet ne me passionne pas franchement.
Donc pour finir, je suis peut être (certainement) dans le tord mais j'aimerais un argumentaire détaillé contre mes propositions et pas un simple : ton truc ne résiste pas au DNS poisonning. Surout que mon truc y résiste sauf lors de la première connexion (comme ssh). Effectivement, je te rapelle que dans mon système, tu gardes le certificat en cache et donc qu'au passage suivant, le site doit redonner le même certificat !
Il suffit de faire un système transitoire lorsqu'un certificat arrive à expiration, en gros de mettre le nouveau et l'ancien à coté qui signe le nouveau pour que ton navigateur bascule sur le nouveau sans rien dire. Bref, rien de bien compliqué.
Chacun son approche, je préfère dire moi même que j'ai confiance en une cinquantaine de site plutôt que d'en avoir des millions par défauts dans mon navigateur.
Enfin, pour le déploiement des certificats racines, je suis intéressé par une méthode simple qui marche sur tous les OS et tous les navigateurs... Désolé, je n'impose ni l'OS ni le navigateur dans mon boulot.
Enfin, ton exemple a besoin d'une attaque DNS pour marcher... Même si ton exemple est valable, j'aimerais avoir les statistiques de ce genre d'attaque ?
A mon avis, c'est très faible. Pour t'avoir, il est beaucoup plus simple d'avoir un faux site web avec un faux nom de domaine. En plus, en acceptant les noms DNS en UTF8 et en généralisant les extensions finales du système DNS, les responsables de l'internet ont joué avec le feu.
En plus, l'avantage avec un faux noms DNS, c'est que tu peux balancer 10000 pourriels et espérer que deux ou trois couillons tombent dans le panneau. Cela me semble bien plus simple que d'aller attaquer le système DNS et jouer à l'homme du milieu avec chaque utilisateur..
Bref, je trouve que les certificats sont une belle avancée mais, personnellement, j'ai plus confiance dans le certificat de linuxfr que ceux de verisign.
La logique des certificats actuels seraient que les autorités qui les valident visionnent aussi les sites et émettent un avis. C'est hyper dangeureux et cela risque de diriger l'internet droit dans la censure... Pour cette raison, il faut pousser l'usage des certificats vers les réseaux de confiance de type ssh ou pgp.
Pour toutes ces raisons, je n'aime pas les boites de dialogue IE8 et de Firefox3 à propos des certificats signés par sa propre autorité. Cela nous mène vers un internet qui ne me plait guère. D'autres voies sont possible et sont compatibles avec les technlogies actuelles.
> Normalement c'est le boulot de l'autorité de certification de
> s'assurer que la personne qui demande le certificat est bien le
> propriétaire du domaine.
C'est exactement ce que j'ai dis. Tu achètes un nom de domaine proche de celui d'un organisme connu, tu achètes un certifcat officiel et hop, toi tu fais confiance au site.
Il est écrit nul pars que l'organisme de certification regarde le contenu de ton site !
Rien qu'avec clusterssh, j'ouvre plus de 50 fenêtres d'un coup pour mettre à jour mon parc... Mais là, je prends un bureau virtuel rien que pour cela.
Sinon, avec deux écrans coupés en trois colonnes, cela ne fait que 16 fenêtres par colonnes. Je suis sur que je suis souvent dans cette limite là. On prends vite l'habitude d'un Alt-M puis d'un Alt-S pour changer de fenêtre dans la colonne.
C'est sur, lorsque les utilisateurs viennent me demander du support en direct, mon bureau leur fait un peu peur ;-)
J'ai jamais eu un seul problème avec les Gbic HP sur les commutateurs HP et pourtant, j'ai presque toutes les générations de Gbic intégrable dans un switch HP depuis 14 ans...
Bref, éviter les convertisseurs et attaquer directement le switch (de préférence HP pour moi). D'ailleurs, il parait que les mini-Gbic CISCO sont des HP en réalité !
[^] # Re: backports ?
Posté par Sytoka Modon (site web personnel) . En réponse au journal Le choix d'une distribution Linux. Évalué à 2.
La différence entre une VM comme java et un environnement comme le couple gcc+Qt par exemple, c'est qu'il n'y a pas les mêmes moyens dessus ! Plus tu as de moyens, plus tu es capable de faire de test et de valider ton environement sur du multiplateforme.
Tiens un exemple qui me revient en mémoire. J'ai un onduleur dont le programme de pilotage est en java. Et bien la boite qui vends cet onduleur ne valide pas son logiciel pour une machine Itanium ! Pourtant, c'est pas bien compliqué comme programme, c'est juste des appels SNMP sur l'onduleur... Un bête programme en Perl ou en C serait plus portable que celui en java.
-2- Si on change d'OS et de compilateur, on a la chance de voir plein d'erreur. Mais il faut aussi changer de compilateur, si tu restes sur GNU, cela ne change souvent pas grand chose.
Je me souviens de programmes en fortran qui étaient pourtant bien codé et lisible, qui donnaient les bons résultats et dont on a trouvé des bogues monstrueux rien qu'en changeant de compilateur. On se demande parfois comment le résultat pouvait être juste avec l'autre version de compilateur !
[^] # Re: Le Vote electronique mene a la guerre civile
Posté par Sytoka Modon (site web personnel) . En réponse au journal Vote par Internet pour les élections prud'homales sur Paris. Évalué à 2.
Faire un truc plus lourd avec la seule bonne volonté pour dépouiller signifie en pratique pas d'élection en interne ! Encore une fois, il ne faut pas confondre l'election du président de la république et des députés avec toutes les autres élections.
Je finit donc par une question simple : " Remets-tu en cause la légitimité du leader de debian ? "
[^] # Re: backports ?
Posté par Sytoka Modon (site web personnel) . En réponse au journal Le choix d'une distribution Linux. Évalué à 8.
En plus, c'est bien de vouloir Apache-2.2.9 plutôt que la 2.2.3 mais il faut une raison derrière. Qu'elles sont les nouvelles focntionalités du dernier dont tu as absolument besoin ?
Ensuite, tu sors des arguments foireux que debian modifie les paquets originaux ! Mais toutes les distributions font cela. Par exemple, debian est un contributeur majeur sur l'aspect multiplateforme. Si tu as développé un peu du code sur 3 processeurs différents, tu sais que faire cela permet de découvrir plein de bogue...
Donc certe, debian modifie les paquets. Certes, debian a fait une énorme bourde avec openssl et PERSONNE ne l'a vu pendant plusieurs années. Mais elle a été corrigé, rendu publique, tout cela en restant dans la philosophie du libre. Et je n'ai pas connaissance d'une attaque en masse contre les machines debian qui aurait permis a des pirates d'en prendre le controle.
Donc, au final, ce mini crack chez debian a été plus bien géré et va permette d'avoir des procedures qui évite ce genre de chose dans l'avenir. Mais il y en aura d'autres, c'est inévitable. D'ailleurs, red-hat a aussi mis des bogues (moins grave) dans ses paquets et pourtant, ce sont des pros ! Et puis, le protocole DNS avait aussi un bogue ! Putain merde, le pilié d'internet... et tu l'utilises encore.
A mon avis, fixe toi sur une distribution et commence par gérer un parc de 40 machines, tant serveur que de bureau, sur 4 ans et on en reparle.
[^] # Re: Linux sur un P6...
Posté par Sytoka Modon (site web personnel) . En réponse au journal Puisque. Évalué à 3.
Bref, c'est un serveur qui fait économiser beaucoup à très peu. On devrait proposer cela à l'équipe en place autour de Sarkozy ;-)
# backports ?
Posté par Sytoka Modon (site web personnel) . En réponse au journal Le choix d'une distribution Linux. Évalué à 3.
Pourquoi ?
Finalement, tu as l'air de l'aimé plutôt la debian. Ton problème me semble être sur un nombre réduit de paquet comme Gimp et justement, il y a les backports pour cela.
Bref, pourquoi les balayer comme cela en une seule phrase sèche ?
[^] # Re: Le Vote electronique mene a la guerre civile
Posté par Sytoka Modon (site web personnel) . En réponse au journal Vote par Internet pour les élections prud'homales sur Paris. Évalué à 3.
Les personnes dans une boite font confiance aux administrateurs systèmes et réseaux. Et pourtant, il est très facile pour nous d'aller lire des documents confidentiels...
Qu'est ce qui protège les personnes de leur administrateur système ?
-1- l'OS. C'est la stratégie prise par Microsoft avec NT de dire que root n'a pas tous les pouvoirs notament de voir les documents des utilisateurs. En pratique, c'est parfois très chiantcar cela nous empêche de faire notre boulot.
-2- la loi. Un administrateur système est pénalement responsable. Il est déjà arrivé au CNRS par exemple qu'un adminsitrateur système se retrouve devant la justice pour avoir diffusé un document sans autorisation de la personne.
Pour un certain nombre de vote, le vote électronique marche très bien. Qui remet en cause le leader de debian ? Pourtant debian utilise le vote électronique. Si les administrateurs debian qui gère le système de vote trichent un jour, ils risquent très gros. Quel est leur intérêt de tricher ?
C'est pareil pour tout un tas de vote en entreprise. Le vote électronique permet de plus consulter, de pouvoir plus s'appuyer sur la démocratie directe.
Ceux qui veulent des urnes sont-ils près à aller toutes les semaines les vider et faire de dépouillement ?
Avec le vote électronique, on peux aussi mettre en place les votes de type condorcet (utilisés chez debian). Ce genre de système est quasiment impossible à mettre en place avec une urne.
J'ai connu à la fac le système de vote par liste majoritaire ou on avait le droit de barrer des noms et d'en rajouter !! Il fallait trois jours pour dépouiller cette horreur et on finissait par même plus vraiment savoir pour qui on votait exactement.
Le vote électronique est basé en interne dans une structure de type entreprise sur la confiance dans les administrateurs systèmes et réseaux. Ils sont pénalement responsable et sont, sur un certain nombre de point, indépendant de leur direction directe.
Travaillant dans un laboratoire CNRS, il y a un certain nombre d'ordre que mon directeur peut me donner que je n'exécuterait jamais, car elle ne sont pas de son resort. Il faut arrêter de croire que le directeur a tous les pouvoirs.
[^] # Re: gestion des images > 8 bits
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de GIMP 2.6. Évalué à 2.
Parfois, pour faire avancer le débat, on est obliger de balancer des phrases un peu (trop) choc qui oblige à se rendre compte de l'absurdité de notre situation actuelle. Mais rassure toi, je n'en veux pas aux pompistes que je respecte beaucoup (quand j'en vois encore), c'est une image d'épinal comme la tienne que je te renvoyais.
L'Homme d'hier en Occident a eu beaucoup de mal a accueillir les noirs. L'Homme actuel a beaucoup de mal a accueillir ses cousins grands singes qui lui sont ses plus proches parents au sens génétique. L'Homme de demain aura certainement du mal a accueillir les autres espèces...
Un bouquin qui parle un peu de cela est : Les prairies bleus, d'Athur Clarke.
Pour ce qui est du QI, les expériences sur les autres grands singes sont assez étonnantes, mais elles manquent de continuité car justement les résultats pourraient trop déranger.
Pour conclure, je ne suis pas végétarien pour rien ;-)
# Au CNRS
Posté par Sytoka Modon (site web personnel) . En réponse au journal Vote par Internet pour les élections prud'homales sur Paris. Évalué à 1.
Bref, tout cela se fait sans les agents autour... On fait confiance dans les personnes qui gèrent le vote.
Que le vote électronique soit un problème sur des élections sensibles ou les garants de l'état sont en jeu, je suis d'accord.
Sur des votes ou les garants du vote n'ont aucun intérêt dans celui-ci, je me pose la question. Si le vote électronique permet d'avoir un taux d'abstension bien plus faible... est-ce réellement pire ?
L'important, c'est que les représentants représentent. On peut faire des règles démocratiques avec des urnes et tout et tout, qui pourtant ne réprésente pas pour autant. Un exemple flagrant est le Sénat qui ne bouge pas de bords depuis 50 ans !
Vaut-il mieux un vote électronique juste ou des règles foireuses comme au sénat ?
[^] # Re: gestion des images > 8 bits
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de GIMP 2.6. Évalué à 2.
Aujourd'hui, on sais que les autres grands singes sont loin d'être des idiots et que, si on se donnait la peine, il y en a pas mal qui pourraient atteindre le QI du pompiste moyen de l'amérique profonde (moi aussi, je sors ici une phrase toue faite). Bref, on se retrouve face a un dilemme que nous avons déjà eu il y a quelques sciècles avec les noirs ; il faut leur faire de la place et partager les richesses de la planête.
Nos gouvernements (et pas mal de citoyens) ne sont pas prêt à cela.
Pour finir, on n'est pas cousins des grands singes, on est des grands singes ! On est donc cousins des AUTRES grands singes.
[^] # Re: C'est pas après l'EULA que je râle perso...
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 2.
Une boite de dialogue compréhensible par les utilisateurs ! Les 3/4 des mes utilisateurs n'ont pas vu cette fonctionalité car elle est planquée en tout petit au bas de la boite.
[^] # Re: gestion des images > 8 bits
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de GIMP 2.6. Évalué à 2.
L'homme ne descend pas du singe, il fait partie de la famille des grands singes !
[^] # Re: gestion des images > 8 bits
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de GIMP 2.6. Évalué à 4.
[^] # Re: gestion des images > 8 bits
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de GIMP 2.6. Évalué à 3.
Surtout que sur les bits des APN, il y a de tout et de n'importe quoi ;-)
[^] # Re: C'est pas après l'EULA que je râle perso...
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 2.
> - Authentification d'une ou des deux parties (handshake)
> - Confidentialite et non alteration en chemin des donnees
> echangees (chiffrement de la communication)
Je ne dis pas le contraire. je dis simplement que l'on pourrait faire du HTTPS comme du SSH et donc d'avoir à valider la PREMIERE fois le certificat.
Dans tes exemples, tu montres bien que tu vas toujours sur les mêmes sites et que ce nombre est finalement en quantité réduite. Ton navigateur pourrait donc stocker ce certificat d'une session à l'autre (il le fait déjà) et gérer le changement de ce certificat à la date de prescription (a ma connaissance, non géré aujourd'hui).
Pour ce qui est des mots de passe, je suis d'accord avec toi mais cela n'a rien à voir avec le problème évoqué plus haut. Qu'un site utilise un certificat signé par verisign ou non, aujourd'hui, ces sites publiques ne font pas d'authentification de l'utilisateur par certificat,
Je ne connais que deux entités qui font cela, les impôts et le CNRS et ils ont tous les deux leur propre autorités de certification à ma connaissance (pour le CNRS, c'est sur) !
Donc, ne nous trompons pas de débat, je ne suis pas fanatique des certificat payant, pas du reste.
Sinon, pour ce qui est de vérifier les clients par certificat, le système du CNRS est un semi-échec. Il est peu utilisé sauf certain milieu. Je vois dans mon laboratoire, sur 150 personnes, nous ne sommes que 3 a avoir un certificat et je n'ai pas du tout envie de déloyer la technologie à l'échelle du laboratoire. C'est trop de boulot pour une sécurité dont je ne suis pas sur qu'elle serait meilleure à la fin, les personnes ayant leur certificat 'en clair' sur leur disque ou dans leur clef USB qui traine dans le sac de l'odinateur portable.
[^] # Re: C'est pas après l'EULA que je râle perso...
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 2.
Mais encore une fois, c'est du feeling et je n'ai pas les chiffres. Je vois seulement que ma boite mail est innondé de pourriel ayant des faux noms DNS.
[^] # Re: Mais pourquoi tout le monde s'en fout ?
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche L'Office européen des brevets en grève pour dénoncer les abus. Évalué à 5.
[^] # Re: Mais pourquoi tout le monde s'en fout ?
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche L'Office européen des brevets en grève pour dénoncer les abus. Évalué à 2.
> les brevets.
Il ne faut pas non plus exagérer. Pour moi, aucun des éléments que tu cites sont vraiment fondamental.
Par ailleurs, le brevet n'a pas pour but le monopole car tu peux acheter une licence d'exploitation. Si les autres constructeur dans tes exemples n'ont pas voulu payé une licence, c'est que pour eux ces éléments n'était pas fondamentaux !
Pour parler voiture, sais-tu que l'ABS n'est pas un élément de sécurité ! En effet, en Allemagne, au début de l'ABS, les voitures équipés de l'ABS avait droit à une réduction d'assurance. Au bout de quelques années, un bilan a été fait en comparant les voitures avec et les voitures sans en terme de quantité, de gravité... d'accident. La conclusion est que l'ABS ne sers à rien ! La réduction d'assurance a été alors supprimée en allemagne...
Pourquoi ? Parce qu'un élément qui semble de sécurité peut ne pas l'être dans un environnement social ou des milliers de personnes se croisent.
Alors, parler d'éléments de sécurité en évoquant le levier de comande de l'auto-radio, etc. je ne suis pas sur que cela ne soit pas du superflu ! Ce genre de chose mérite une étude globale que je suis incapable de faire.
> 5 ans ne seraient-ils pas largement suffisants ?
Tu as une vision informatique des choses. En informatique, les choses évoluent TRES TRES vite et par ailleurs, les volumes sont énormes. Pour tous ce qui est logiciels (donc normalement sans brevet), le coùt de reproduction est quasi-nul.
Mais cette vision est fausse dans la majorité des cas. Concevoir et fabriquer des pièces coùtent chère. Les constructeurs automobile prennent des risques financier énorme à chaque modèle (c'est pour cela qu'ils recopient tous la 205 !)...
Etant dans un laboratoire de recherche publique, je peux te dire qu'entre un dépot de brevet et le début de la rentrée d'argent, il se passe souvent plus de 5 ans. Donc pendant les cinq premières années, ton brevet te coute et tu dois investir au risque de ne rien avoir à la fin. D'ailleurs, mon laboratoire a queques brevets et ce ne sont pas eux qui me paye mon salaire ;-)
Comme il a été dis, le brevet protège les PME et les inventions. 20 ans, ce n'est pas si long que cela. Il faut aussi savoir reprendre le temps de vivre. On n'est pas là sur terre pour l'épuiser de notre existence. J'ai des gamins et je ne souhaite pas que le monde soit totalement différent d'aujourd'hui lorsqu'il seront grand. Ne nous calons pas sur l'informatique et prenons le temps de voir celui-ci passer.
Pour finir, un noeud du problème à mon avis ne sont pas les brevets mais que les dirigeants des grosses entreprises gagnent plus d'argent que ce qu'ils transpirent réellement et plus que leur responsabilité réelle. On se retrouve donc aujourd'hui avec une castre de seigneur féodaux qui vont se transmettre de père en fils et qui prélève leur dîme indépendament de leur mérite.
Un autre noeud est que les autorités laissent la mise en place de monopole privé malgré les règles antitrusts. Les monopoles essayent alors de garder leur monopole (et ceux de leur dirigeants) en partie via les brevets mais surtout en modifiant si possible les lois dans les pays pour les mettre a leur sauce.
Exemple : Dans le temps, Alstom (et la SNCF) en France et Siemens en Allemagne avaient chacun un monopole sur la construction des trains dans leur pays respectf du fait que les réglements francais et allemand étaient très différents et adpatés aux savoirs des deux entreprises.
C'était pareil pour les pèses personnes...
Bref, le brevet t'oblige à expliquer au monde entier ton invention, te protège pour une durée limité (loin des 50 ans du droit d'auteur qui démarre après la mort de celui-ci). Il me semble qu'on devrait obliger la vente de licence d'exploitation d'un brevet à un prix 'raisonable' et plus réguler la taille des entreprises (antitrust) et surtout agir sur les hauts salaires (SMAX : Salaire Maximum, par exemple un SMAX a 100 SMIC me parait raisonable).
[^] # Re: Mais pourquoi tout le monde s'en fout ?
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche L'Office européen des brevets en grève pour dénoncer les abus. Évalué à 4.
A pars quelques cas, le brevet me semble taillé pour les entreprises qui fabrique des choses matérielles et il me semble normal que le brevet puisse donc appartenir à l'entreprise. D'autant plus que contrairement au droit d'auteur, la protection est limité dans le temps (20 ans si mes souvenirs sont bons) alors que le droit d'auteur dure beaucoup trop longtemps après la mort de l'auteur.
[^] # Re: « Yann : Oui, en tant que responsable d'un parc d'environ 350 Linux
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Dix ans de DLFP : Entretien avec l'équipe LinuxFR 2/3. Évalué à 4.
[^] # Re: Bandelettes
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie du codeur vidéo Dirac en version 1.0.0. Évalué à 4.
Oui, pas mal de chose ont changés...
Il suffit de lire le journal du CNRS, on te parle brevet à toutes les pages (j'exagère à pein).
Il suffit de voir l'évaluation des chercheurs : de plus en plus de bibliométrie (et de publications creuses), de plus en plus d'importance pour les brevets...
Il suffit de voir le budget des laboratoires. Sans argent privé, une grande partie des laboratoires publiques qui ont des recherches dans le domaine des sciences pour l'ingénieur pourraient mettre la clef sous la porte dès demain.
Contrat privé, innovation... Tu es obligé de brevetter pour assurer une partie de ton gagne pain.
Bref, on est souvent loin de l'idéal qui se cache sous le terme d'université !
PS : les ressources du CNRS provenant de la vente des brevets est loin d'être négligeable dans le budget global même si comme cela, de brut en blanc, je ne me souviens plus de la valeur.
PPS : si un jour le CNRS devient rentable, l'état ponctionnera dedans pour financer les budgets illimités de l'Elysée, de la chambre des députés, du sénat ainsi que des anciens combattants de ces institutions ;-)
[^] # Re: C'est pas après l'EULA que je râle perso...
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 2.
> accepteras mon certificat sans t'en rendre compte et je pourrai
> alors voir tout ce que tu fais. Sécurité faible.
Tu n'as pas bien lu ce que je propose à mon avis. Tu es en train de me dire que SSH est faible car je propose non pas de virer la signature d'un certificat mais d'avoir une autre voie qui en plus ou en parallèle ferait les mêmes vérifications que SSH.
Enfin, je dis que la méthode de la signature va tendre à la fin à avoir les organismes qui valident aussi le contenu du site web car cette méthode ne contre en rien les faux site web qui prennent des noms proches des vrais.
Bref, cela fait très contrôle centralisé et minitel 3 !
Alors moi je te dis : OK, vas y, fait moi du DNS poisoning !
Qu'est ce qui est plus facile aujourd'hui, le DNS poisoning ou faire des faux sites sur des noms DNS bidons que les autorités de l'internet ont accepté sans se rendre compte du danger (je parle des noms DNS en UTF8 or ASCII). Bref, j'ai comme des doutes sur les autorités auxquelles tu fais référence. Il arrive à tous des faire des erreurs. Ces autorités ont un but qui est de faire de l'argent et de transformer internet en autoroute à péage... Ainsi, ils auront la dîme tant désirée. Cet internet ne me passionne pas franchement.
Donc pour finir, je suis peut être (certainement) dans le tord mais j'aimerais un argumentaire détaillé contre mes propositions et pas un simple : ton truc ne résiste pas au DNS poisonning. Surout que mon truc y résiste sauf lors de la première connexion (comme ssh). Effectivement, je te rapelle que dans mon système, tu gardes le certificat en cache et donc qu'au passage suivant, le site doit redonner le même certificat !
Il suffit de faire un système transitoire lorsqu'un certificat arrive à expiration, en gros de mettre le nouveau et l'ancien à coté qui signe le nouveau pour que ton navigateur bascule sur le nouveau sans rien dire. Bref, rien de bien compliqué.
Chacun son approche, je préfère dire moi même que j'ai confiance en une cinquantaine de site plutôt que d'en avoir des millions par défauts dans mon navigateur.
Enfin, pour le déploiement des certificats racines, je suis intéressé par une méthode simple qui marche sur tous les OS et tous les navigateurs... Désolé, je n'impose ni l'OS ni le navigateur dans mon boulot.
[^] # Re: C'est pas après l'EULA que je râle perso...
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 1.
A mon avis, c'est très faible. Pour t'avoir, il est beaucoup plus simple d'avoir un faux site web avec un faux nom de domaine. En plus, en acceptant les noms DNS en UTF8 et en généralisant les extensions finales du système DNS, les responsables de l'internet ont joué avec le feu.
En plus, l'avantage avec un faux noms DNS, c'est que tu peux balancer 10000 pourriels et espérer que deux ou trois couillons tombent dans le panneau. Cela me semble bien plus simple que d'aller attaquer le système DNS et jouer à l'homme du milieu avec chaque utilisateur..
Bref, je trouve que les certificats sont une belle avancée mais, personnellement, j'ai plus confiance dans le certificat de linuxfr que ceux de verisign.
La logique des certificats actuels seraient que les autorités qui les valident visionnent aussi les sites et émettent un avis. C'est hyper dangeureux et cela risque de diriger l'internet droit dans la censure... Pour cette raison, il faut pousser l'usage des certificats vers les réseaux de confiance de type ssh ou pgp.
Pour toutes ces raisons, je n'aime pas les boites de dialogue IE8 et de Firefox3 à propos des certificats signés par sa propre autorité. Cela nous mène vers un internet qui ne me plait guère. D'autres voies sont possible et sont compatibles avec les technlogies actuelles.
[^] # Re: C'est pas après l'EULA que je râle perso...
Posté par Sytoka Modon (site web personnel) . En réponse au journal Mozilla et Linux. Évalué à 2.
> s'assurer que la personne qui demande le certificat est bien le
> propriétaire du domaine.
C'est exactement ce que j'ai dis. Tu achètes un nom de domaine proche de celui d'un organisme connu, tu achètes un certifcat officiel et hop, toi tu fais confiance au site.
Il est écrit nul pars que l'organisme de certification regarde le contenu de ton site !
[^] # Re: wiki down .. troll survives
Posté par Sytoka Modon (site web personnel) . En réponse à la dépêche Sortie de VLC Media Player 0.9.2. Évalué à 2.
Sinon, avec deux écrans coupés en trois colonnes, cela ne fait que 16 fenêtres par colonnes. Je suis sur que je suis souvent dans cette limite là. On prends vite l'habitude d'un Alt-M puis d'un Alt-S pour changer de fenêtre dans la colonne.
C'est sur, lorsque les utilisateurs viennent me demander du support en direct, mon bureau leur fait un peu peur ;-)
[^] # Re: La limite des 100m dans une installation Fullduplex ,çà a encore u
Posté par Sytoka Modon (site web personnel) . En réponse au journal Gigabit, processeurs, câbles et parasites. Évalué à 2.
J'ai jamais eu un seul problème avec les Gbic HP sur les commutateurs HP et pourtant, j'ai presque toutes les générations de Gbic intégrable dans un switch HP depuis 14 ans...
Bref, éviter les convertisseurs et attaquer directement le switch (de préférence HP pour moi). D'ailleurs, il parait que les mini-Gbic CISCO sont des HP en réalité !