Halium/libhybris est un projet né d'un choix pragmatique: à l'époque, la possibilité d'avoir une gestion décente du matériel avec un noyau "mainline" était quasi inexistante.
La dépendance à Google n'est pas vraiment le problème ici: la couche Android est minimale, et ne sert qu'à dialoguer avec les pilotes. On peut garder un vieil Android, le risque pour les données ou l'appareil est quand même très restreint.
Le gros souci, c'est plutôt le noyau, qui est lié aux pilotes non maintenus par le constructeur: on est condamné à utiliser un vieux noyau, qui ne bougera quasiment plus.
Et pour qualcomm, le mainline ne résoud pas grand chose: si demain ils décident d'abandonner le protocole QRTR pour le modem 4G/5G et passent à un truc non documenté et obscur, ofono et ModemManager mettront un certain temps avant de trouver une solution, si jamais elle existe.
Le tableau n'est pas si sombre que ça: de façon générale, les téléphones avec SoC qualcomm arrivent assez bien à tourner avec un noyau récent. En m'appuyant sur les efforts faits par la communauté postmarketos, j'ai pu faire tourner "assez facilement" le Xiaomi Note 5 et le Xiaomi Mi A1 avec un noyau plutôt récent (6.9.1), et avec quasi toutes les fonctionnalités (le capteur photo reste un point noir).
Ofono et ModemManager ont maintenant une bonne gestion du protocole utilisé par Qualcomm, et Mesa n'est pas trop en retard sur les GPU Adreno.
Donc c'est loin d'être idéal, mais c'est largement mieux que la situation d'il y a 10 ans !
Déjà, bravo pour ton travail sur Droidian, l'intégration dans le Gnome Control Center est un gros plus pour l'utilisation au quotidien.
Est-ce qu'il y a des interactions entre Mobian et Droidian ? Une mise en commun de certaines parties ?
De ce que je comprends la principale différence est que Mobian est axé sur le support "mainline", là où Droidian s'appuie explicitement sur libhybris. Mais vu de loin, passé cette couche de support hardware, le gros du boulot semble commun aux deux… Est-ce le cas ?
Pour LuneOS (dont je fais partie), on fait un peu des deux, avec une transition (récente) vers le mainline; toute la partie UI/Middleware est commune.
Ce n'est pas parce que ton login/password Github a fuité que ta clé de génération TOTP a fuité aussi…
Et si ton browser est compromis, je ne suis pas sûr que ça change grand chose.
L'objectif de Doctolib est peut-être simplement de se faire des sous en revendant cette base de données de discussions, dans laquelle il n'y a aucun texte généré par IA.
J'ai l'impression que cela devient assez rare, et donc pourrait être revendu à bon prix…
Et pour confidentialité des échanges, bah, tant pis hein !
En effet, le système ressemble beaucoup au système "Swish", qui a complètement conquis la population suédoise. Là-bas payer avec de la monnaie est devenu l'exception, et le verbe "swisher" est entré dans le vocabulaire du quotidien.
Et avant même Swish, il est aussi possible de régler ses factures facilement, avec un numéro de virement. Un jour, peut-être, en France…
Et l'IBAN existe encore là-bas, bien entendu, ça n'a pas le même usage.
Cette faille permet une exécution de code dans le contexte du plugin "foomatic" de cups, et donc dans le contexte de cupsd.
Sur mon Archlinux, c'est donc en tant que root. C'est peut-être "lp" chez toi.
Le gros problème pour moi ce sont les constructeurs qui ne proposent plus de mises à jour de l'OS et surtout de patches de sécurité au delà de plusieurs années
Normalement, cela aurait dû être en grande partie réglé avec l'introduction du projet Treble dans Android: une séparation claire entre la partie OS « générique », qui peut être mise à jour par Google, et la partie « constructeur » qui est souvent rapidement laissée à l'abandon par ce dernier.
Mais cette belle idée est mise à mal par le comportement des constructeurs:
- ils veulent proposer leur surcouche de la partie générique, et donc on dépend à nouveau d'eux pour la mise à jour
- la séparation générique/constructeur est parfois mal faite
- on ne peut pas facilement changer la partie générique pour revenir sur un Android « standard » (bootloader bloqué, et souvent impossible à re-bloquer lorsqu'on a mis un OS plus à jour…)
On voit bien que l'argument de la sécurité, utilisé aujourd'hui pour enfermer l'utilisateur dans un Android bourré de pubs et/ou de services du constructeur, est complètement dévoyé.
Le port UDP 631 atteignable, c'est un peu le but de la découverte automatique des imprimantes, non ? Donc si cups-browser est actif, j'ai l'impression que c'est faisable.
Et l'exploit présenté ici n'utilise même pas les multiple buffer overflow découverts dans cups-browser. J'imagine qu'une version plus élaborée pourrait être plus trompeuse pour l'utilisateur, voire mener à de l'éxécution de code dans le contexte de cups-browser…
Donc, oui, il faut patcher, mais un correctif est-il seulement disponible ?
Il est très probable qu'il existe un petit utilitaire linux qui reproduit le comportement de Undelete (c-à-d restaurer le flag des fichiers effacés dans la FAT). C'est vraiment simple à implémenter, et si ça n'existe pas ça peut faire un petit exercice sympa de programmation :)
Undelete profite de l'aspect particulièrement simple de la FAT et de sa gestion avec DOS: lorsqu'un fichier est supprimé, son entrée dans le répertoire dans la FAT est juste masquée, mais peut être facilement retrouvée.
C'est loin d'être aussi simple pour les autres systèmes de fichiers (ext4, NTFS…), et de plus il faudrait une implémentation par FS, ce qui est long et laborieux.
Parcourir tout le disque physique à la recherche de signatures est plus générique, et a plus de chances de succès.
En effet, le seul matériel supporté par webOS OSE est actuellement le Raspberry Pi. Il y a aussi une image VirtualBox.
Le but ici est surtout d'aider les développeurs d'application webOS, et de proposer une version "opensource" du webOS installé sur les TV LG. Cette version n'inclut cependant aucun firmware ou pilote, et il va être compliqué de l'installer sur une TV, même une télé LG…
[HS] webOS OSE est aussi ce qu'utilise LuneOS comme base pour avoir webOS sur des téléphones.
Il y a déjà un simulateurs d'impôts proposé par le NFP. Tu voudrais un simulateur pour tous les changements proposés dans le programme ? "Ensemble" ne propose rien de tel.
Ce site est apparu hier. Il y a déjà un article dans LeMonde, le buzz est là, on sait très bien comment les fake-news fonctionnent, la prime au premier arrivé est énorme: ça ne servirait à rien de proposer un simulateur de retraites NFP maintenant, c'est déjà trop tard.
Les faits que tu oublies de citer, ce sont entre autres:
- le site ignore les parts fiscales
- le site applique manifestement deux fois la CSG
- le site ignore la réforme des tranches d'imposition proposée par le NFP
C'est une équipe de une personne apparemment, et le graphisme n'est peut-être pas son fort. Au moins cela permet d'avoir un résultat bien meilleur qu'avec Paint…
avoir une Identité Numérique privée ;
Ok, jamais utilisé ou eu besoin
avoir une Identité Numérique étatique ;
Ok, jamais utilisé ou eu besoin
accéder à une formation ;
Je peux m'y connecter avec login/password, mais il faut peut-être france connect lors de la validation. Je doute qu'un smartphone soit nécessaire.
avoir une carte vitale pour se faire rembourser ses soins ;
Je n'ai jamais utilisé mon smartphone pour ça
accéder à son dossier pharmaceutique ;
Je ne l'ai pas encore utilisé, mais je parie qu'on peut s'y connecter avec france Connect
prendre les transports en commun ;
Huh ?
utiliser un parking payant ;
J'ai toujours utilisé ma carte bleue pour ça.
charger sa voiture électrique ;
Ok, jamais essayé
utiliser un compte bancaire ;
Là, oui, ça semble compliqué sans smartphone, chez beaucoup de banques.
La barre de recherche permet de chercher dans les onglets, ça va beaucoup plus vite
Ça, c'est lorsqu'on sait ce qu'on cherche… Ici j'ai quelques groupement d'onglets sur différents sujet, je ne me souviens pas forcément de tous mais si je ne l'ai pas fermé c'est qu'il pourrait être utile.
souvent trois maxi
Donc, tu fais une recherche dans 3 onglets ?…
Ça m'a toujours laissé perplexe les collections de pages ouvertes
On peut s'en servir comme bookmarks, aussi, même si ça dévoie un peu le concept.
J'ai un compte où je refuse depuis des mois de choisir entre leur donner ma vie privée (cookies à gogo) ou payer 15€ de racket par mois. Du coup, mon accès au compte est bloqué.
Une évolution intéressante serait une webcam posée sur l'épaule de l'utilisateur, qui ferait l'analyse de son écran en temps réel. Reste à miniaturiser suffisament la chose pour que cela soit transparent et se fasse oublier. Peut-être avec le téléphone portable et un mini périscope bien orienté.
[^] # Re: noyau figé
Posté par Christophe . En réponse au journal Droidian: un OS fonctionnel pour les téléphones Android. Évalué à 3. Dernière modification le 17 octobre 2024 à 16:41.
Halium/libhybris est un projet né d'un choix pragmatique: à l'époque, la possibilité d'avoir une gestion décente du matériel avec un noyau "mainline" était quasi inexistante.
La dépendance à Google n'est pas vraiment le problème ici: la couche Android est minimale, et ne sert qu'à dialoguer avec les pilotes. On peut garder un vieil Android, le risque pour les données ou l'appareil est quand même très restreint.
Le gros souci, c'est plutôt le noyau, qui est lié aux pilotes non maintenus par le constructeur: on est condamné à utiliser un vieux noyau, qui ne bougera quasiment plus.
Et pour qualcomm, le mainline ne résoud pas grand chose: si demain ils décident d'abandonner le protocole QRTR pour le modem 4G/5G et passent à un truc non documenté et obscur, ofono et ModemManager mettront un certain temps avant de trouver une solution, si jamais elle existe.
[^] # Re: Liens avec Mobian ?
Posté par Christophe . En réponse au journal Droidian: un OS fonctionnel pour les téléphones Android. Évalué à 2.
Le tableau n'est pas si sombre que ça: de façon générale, les téléphones avec SoC qualcomm arrivent assez bien à tourner avec un noyau récent. En m'appuyant sur les efforts faits par la communauté postmarketos, j'ai pu faire tourner "assez facilement" le Xiaomi Note 5 et le Xiaomi Mi A1 avec un noyau plutôt récent (6.9.1), et avec quasi toutes les fonctionnalités (le capteur photo reste un point noir).
Ofono et ModemManager ont maintenant une bonne gestion du protocole utilisé par Qualcomm, et Mesa n'est pas trop en retard sur les GPU Adreno.
Donc c'est loin d'être idéal, mais c'est largement mieux que la situation d'il y a 10 ans !
# Liens avec Mobian ?
Posté par Christophe . En réponse au journal Droidian: un OS fonctionnel pour les téléphones Android. Évalué à 3. Dernière modification le 17 octobre 2024 à 10:03.
Déjà, bravo pour ton travail sur Droidian, l'intégration dans le Gnome Control Center est un gros plus pour l'utilisation au quotidien.
Est-ce qu'il y a des interactions entre Mobian et Droidian ? Une mise en commun de certaines parties ?
De ce que je comprends la principale différence est que Mobian est axé sur le support "mainline", là où Droidian s'appuie explicitement sur libhybris. Mais vu de loin, passé cette couche de support hardware, le gros du boulot semble commun aux deux… Est-ce le cas ?
Pour LuneOS (dont je fais partie), on fait un peu des deux, avec une transition (récente) vers le mainline; toute la partie UI/Middleware est commune.
[^] # Re: TOTP
Posté par Christophe . En réponse au journal ultimatum de github pour passer au 2FA. Évalué à 6.
Ce n'est pas parce que ton login/password Github a fuité que ta clé de génération TOTP a fuité aussi…
Et si ton browser est compromis, je ne suis pas sûr que ça change grand chose.
[^] # Re: il est donc temps
Posté par Christophe . En réponse au lien Chrome prévient qu'uBlock Origin et d’autres extensions ne seront bientôt plus compatibles. Évalué à 3.
Alors, vu le traitement de JPEG-XL, je ne me ferais pas trop d'illusions.
Mais sait-on jamais, sur un malentendu…
[^] # Re: postmarketos
Posté par Christophe . En réponse au journal Danew DBook 110 : l'ordinateur des nouilles. Évalué à 3.
Quelqu'un a porté une vieille Debian Buster sur le Odroid Go Advance, qui a le même chipset RK3326.
Donc avec un peu de motivation, il peut peut-être installer une Debian !
[^] # Re: Toujours pareil
Posté par Christophe . En réponse au lien Doctolib déploie une IA pour capter et analyser les conversations patients-médecins ! . Évalué à 3.
Trop tard:
- LinuxFR.org a déjà été indexé par les générateurs LLM
- Quelques journaux ou réponses contiennent déjà du texte issue de LLM…
[^] # Re: Toujours pareil
Posté par Christophe . En réponse au lien Doctolib déploie une IA pour capter et analyser les conversations patients-médecins ! . Évalué à 8.
L'objectif de Doctolib est peut-être simplement de se faire des sous en revendant cette base de données de discussions, dans laquelle il n'y a aucun texte généré par IA.
J'ai l'impression que cela devient assez rare, et donc pourrait être revendu à bon prix…
Et pour confidentialité des échanges, bah, tant pis hein !
[^] # Re: je doute que ce soit la fin de l'IBAN
Posté par Christophe . En réponse au lien C’est la fin de l’IBAN : les banques françaises s’allient pour simplifier les virements avec Wero. Évalué à 6.
En effet, le système ressemble beaucoup au système "Swish", qui a complètement conquis la population suédoise. Là-bas payer avec de la monnaie est devenu l'exception, et le verbe "swisher" est entré dans le vocabulaire du quotidien.
Et avant même Swish, il est aussi possible de régler ses factures facilement, avec un numéro de virement. Un jour, peut-être, en France…
Et l'IBAN existe encore là-bas, bien entendu, ça n'a pas le même usage.
[^] # Re: Infos à vérifier
Posté par Christophe . En réponse au journal Faille d'exécution de code à distance dans cups. Évalué à 4.
Cette faille permet une exécution de code dans le contexte du plugin "foomatic" de cups, et donc dans le contexte de cupsd.
Sur mon Archlinux, c'est donc en tant que root. C'est peut-être "lp" chez toi.
[^] # Re: Obsolescence programmée
Posté par Christophe . En réponse au journal android : obsolescence et backup. Évalué à 6.
Normalement, cela aurait dû être en grande partie réglé avec l'introduction du projet Treble dans Android: une séparation claire entre la partie OS « générique », qui peut être mise à jour par Google, et la partie « constructeur » qui est souvent rapidement laissée à l'abandon par ce dernier.
Mais cette belle idée est mise à mal par le comportement des constructeurs:
- ils veulent proposer leur surcouche de la partie générique, et donc on dépend à nouveau d'eux pour la mise à jour
- la séparation générique/constructeur est parfois mal faite
- on ne peut pas facilement changer la partie générique pour revenir sur un Android « standard » (bootloader bloqué, et souvent impossible à re-bloquer lorsqu'on a mis un OS plus à jour…)
On voit bien que l'argument de la sécurité, utilisé aujourd'hui pour enfermer l'utilisateur dans un Android bourré de pubs et/ou de services du constructeur, est complètement dévoyé.
[^] # Re: Java !
Posté par Christophe . En réponse au lien De l'intérêt majeur de choisir un langage memory safe pour tout nouveau code d'un projet existant. Évalué à 10.
Forcément, une fois que tu as alloué toute la mémoire à la VM, il n'y a plus la place pour une fuite !
[^] # Re: désactivé par défaut
Posté par Christophe . En réponse au journal Faille d'exécution de code à distance dans cups. Évalué à 5.
Il était actif par défaut sur ma Debian bookworm toute neuve…
[^] # Re: ouais ouais ouais
Posté par Christophe . En réponse au lien Une faille de sécurité à distance jugée très sérieuse sera rendue publique le 6 octobre 2024. Évalué à 3.
Le port UDP 631 atteignable, c'est un peu le but de la découverte automatique des imprimantes, non ? Donc si cups-browser est actif, j'ai l'impression que c'est faisable.
Et l'exploit présenté ici n'utilise même pas les multiple buffer overflow découverts dans cups-browser. J'imagine qu'une version plus élaborée pourrait être plus trompeuse pour l'utilisateur, voire mener à de l'éxécution de code dans le contexte de cups-browser…
Donc, oui, il faut patcher, mais un correctif est-il seulement disponible ?
[^] # Re: Je suis impacté
Posté par Christophe . En réponse au lien Telegram will now provide some user data to authorities (IP, tel). Évalué à 3.
J'ai un compte à 15€, et via Europresse et PressReader tu as effectivement accès à pas mal de choses.
[^] # Re: Pourquoi la détection des fichiers supprimés est-elle plus compliquée qu'avec Undelete?
Posté par Christophe . En réponse à la dépêche Entrevue avec Christophe Grenier, développeur de testdisk et photorec. Évalué à 3.
Il est très probable qu'il existe un petit utilitaire linux qui reproduit le comportement de Undelete (c-à-d restaurer le flag des fichiers effacés dans la FAT). C'est vraiment simple à implémenter, et si ça n'existe pas ça peut faire un petit exercice sympa de programmation :)
[^] # Re: Pourquoi la détection des fichiers supprimés est-elle plus compliquée qu'avec Undelete?
Posté par Christophe . En réponse à la dépêche Entrevue avec Christophe Grenier, développeur de testdisk et photorec. Évalué à 9.
Undelete profite de l'aspect particulièrement simple de la FAT et de sa gestion avec DOS: lorsqu'un fichier est supprimé, son entrée dans le répertoire dans la FAT est juste masquée, mais peut être facilement retrouvée.
C'est loin d'être aussi simple pour les autres systèmes de fichiers (ext4, NTFS…), et de plus il faudrait une implémentation par FS, ce qui est long et laborieux.
Parcourir tout le disque physique à la recherche de signatures est plus générique, et a plus de chances de succès.
[^] # Re: Télé LG
Posté par Christophe . En réponse au message Distributions pour télé / "smart"télé ?. Évalué à 2.
En effet, le seul matériel supporté par webOS OSE est actuellement le Raspberry Pi. Il y a aussi une image VirtualBox.
Le but ici est surtout d'aider les développeurs d'application webOS, et de proposer une version "opensource" du webOS installé sur les TV LG. Cette version n'inclut cependant aucun firmware ou pilote, et il va être compliqué de l'installer sur une TV, même une télé LG…
[HS] webOS OSE est aussi ce qu'utilise LuneOS comme base pour avoir webOS sur des téléphones.
[^] # Re: Désinformation
Posté par Christophe . En réponse au journal Touche pas à ma retraite. Évalué à 10.
Quelle mauvaise foi.
Il y a déjà un simulateurs d'impôts proposé par le NFP. Tu voudrais un simulateur pour tous les changements proposés dans le programme ? "Ensemble" ne propose rien de tel.
Ce site est apparu hier. Il y a déjà un article dans LeMonde, le buzz est là, on sait très bien comment les fake-news fonctionnent, la prime au premier arrivé est énorme: ça ne servirait à rien de proposer un simulateur de retraites NFP maintenant, c'est déjà trop tard.
Les faits que tu oublies de citer, ce sont entre autres:
- le site ignore les parts fiscales
- le site applique manifestement deux fois la CSG
- le site ignore la réforme des tranches d'imposition proposée par le NFP
[^] # Re: Prudence
Posté par Christophe . En réponse au lien yPhil's MegaBatar. Évalué à 3.
C'est une équipe de une personne apparemment, et le graphisme n'est peut-être pas son fort. Au moins cela permet d'avoir un résultat bien meilleur qu'avec Paint…
[^] # Re: C'est pire en France
Posté par Christophe . En réponse au lien pas d'iphone? pas d'androgooglisé? Fuyez la chine.. des touristes confrontés à la dystopie kafkaïen. Évalué à 3.
# Sympathique alternative
Posté par Christophe . En réponse au lien The lounge : un client IRC web à autohéberger. Évalué à 2.
L'UI est bien léchée, et la configuration a l'air assez simple. Ca peut faire une bonne alternative à Kiwiirc, par exemple.
Cependant je vais garder mon bouncer ZNC, car ça me permet de me connecter avec n'importe quel client IRC, ce que ne semble pas permettre The lounge.
[^] # Re: Barre de recherche
Posté par Christophe . En réponse au lien Firefox prépare une révision de ses onglets, avec regroupement et organisation verticale. Évalué à 4.
Ça, c'est lorsqu'on sait ce qu'on cherche… Ici j'ai quelques groupement d'onglets sur différents sujet, je ne me souviens pas forcément de tous mais si je ne l'ai pas fermé c'est qu'il pourrait être utile.
Donc, tu fais une recherche dans 3 onglets ?…
On peut s'en servir comme bookmarks, aussi, même si ça dévoie un peu le concept.
[^] # Re: Notification de meta
Posté par Christophe . En réponse au lien Intelligence artificielle et données personnelles : Meta visé par des plaintes dans l'UE. Évalué à 3.
J'ai un compte où je refuse depuis des mois de choisir entre leur donner ma vie privée (cookies à gogo) ou payer 15€ de racket par mois. Du coup, mon accès au compte est bloqué.
Donc pareil, je ne peux accéder audit formulaire…
[^] # Re: ça ne remet pas en cause le chiffrement
Posté par Christophe . En réponse au lien Nouvelle proposition à l'UE pour casser le chiffrement de bout en bout des messageries. Évalué à 10.
Peut-être un partenariat avec Microsoft en vue ?…