Adrien Dorsaz a écrit 889 commentaires

Tu as tout à fait raison :)

Je suis en train d'essayer d'afficher le login après le nom, puisque lui est unique.

C'est l'occasion de trouver un moyen également pour améliorer la lisibilité de la ligne "Posté par xxx, Édité par yy, zzz, aaa, Modéré par vvvv", parce que ça va vraiment être très long comme texte si on affiche les logins de tout le monde !

Je fais des essais avec la balise HTML <details> que je laisserai par défaut fermé sur la liste des articles et ouvert sur l'article lui même.

Aïe, je viens de voir qu'il n'y a même pas besoin de faire de "visual spoofing" sur le nom affiché, puisqu'il n'y a même pas de contrainte d'unicité: vous pouvez tous mettre la valeur Adrien Dorsaz si ça vous chante :(

C'est une "fonctionnalité" déjà employée: j'ai déjà vu des utilisateurs réutiliser le même nom affiché quand ils créent un nouveau compte plusieurs mois / années après avoir supprimé leur ancien compte.

Merci pour le lien d'ailleurs, c'est une bonne référence.

D'ailleurs, ils disent qu'il vaut mieux ne pas faire de restriction de caractères, parce que les langues évoluent.

Ils proposent plutôt de remplacer les caractères visuellement proche:

Instead, the Consortium recommends processing strings to remove basic equivalences, promoting adequate rendering support, and putting restrictions in place according to script, and restricting by confusable characters. While the ICANN guidelines say "top-level domain registries will […] associate each registered internationalized domain name with one language or set of languages" [ICANN], that guidance is better interpreted as limiting to script rather than language.

Si je ne me trompe pas, ça doit correspondre à la méthode de normalisation d'UTF-8: https://en.wikipedia.org/wiki/Unicode_equivalence#Normalization

Ah ben oui, c'est bien ça, ils proposent d'appliquer l'algorithme NFKC (2.10.2 > B > 2):

For equivalence of identifiers, preprocess both strings by applying NFKC and case folding. Display all such identifiers to users in their processed form. (There may be two displays: one in the original and one in the processed form.) An example of this methodology is Nameprep [RFC3491]. Although Nameprep is currently limited to Unicode 3.2, the same methodology can be applied by implementations that need to support more up-to-date versions of Unicode.

Merci beaucoup pour le rapport, c'est très bien vu comme attaque !

Je ne connais pas trop le système de compte, je vais regarder.

En vitesse, j'ai vu que l'on a une regexp pour la validation des logins:

LOGIN_REGEXP = /\A[\p{Word}.+\-]+\z/

On utilise aussi la gem devise v4.6.2 pour authentifier, mais je ne suis pas sûr que c'est lié.

Le login, c'est utilisé pour les URLs (le mien par exemple, c'est trim), mais il faut aussi que je vérifie le nom d'utilisateur (la partie que tu as soulevée, donc Adrien Dorsaz chez moi pour l'instant).

De ce que je vois, la validation impose juste un maximum de 40 caractères, il va donc falloir mettre les mains dans le cambouis :)

Pour MySQL ce n'est pas vraiment faux, car la plupart des gestionnaires de bases de données étendent le standard SQL avec des extensions privées.

Si tu as écrit tes requêtes SQL en utilisant ces extensions, alors tu as effectivement écrit en "SQL de MySQL" et par abus de langage en "MySQL".

On a la même situation avec le langage shell et ses différentes extensions, bash, zsh, ksh…

J'ai répondu à côté, désolé 😅

D'après cette page de GNU, POSIX ne définit les options que avec un tiret, une lettre, un espace optionel et la valeur.

GNU ajoute la notion d'option longue avec deux tirets, un nom, un signe égal et la valeur.

jest suit donc bien ce que GNU décrit sur cete page 🙂

Sur la plupart des outils que j'ai utilisé, les deux notations sont équivalentes.

Seulement, les programmes interprètent leurs arguments comme bon leur semble. Il n'y a aucune obligation de suivre ce que les autres font.

C'est justement parce que jest a décidé de faire autrement que je n'ai pas vu l'erreur tout de suite.

Il y a 1 an et demi, j'avais enfin trouvé un IDE qui me plaît (grâce à vim, Language Server Protocol et Debug Adapter Protocol).

J'utilisais donc depuis des mois avec bonheur vimspector comme interface de debug dans vim.

En début d'année, j'ai commencé à douter de la qualité de vimspector à cause de ce phénomène étrange…

Travaillant sur un projet avec beaucoup de tests unitaires, j'ai préparé une des configurations de vimspector pour n'execéuter qu'un seul fichier de test pour pouvoir me concentrer sur ce que je fais uniquement.

Ça marchait bien, j'avais une commande dans le genre:

node --inspect ./node_modules/.bin/jest --bail 1 --verbose mon_test_unitaire_test.js

jest sait qu'il doit filtrer dans mon projet des fichiers dont le nom correspond à la chaîne de caractère passée en argument.

Un jour, j'ai besoin de debugger le code d'un collègue qui traite des subscriptions, je change donc le filtre et tout va bien.

Depuis, à chaque vois que je veux lancer un test particulier, par exemple à propos de invoice, j'ai certains tests de subscriptions qui s'exécutent aussi (bizarrement, pas tous les fichiers subscriptions, seulement 6 fichiers sur une dizaine).

Au début je me dis que c'est sûrement dû à un cache de configuration de vimspector et donc que ça va passer au redémarrage de ma session de debug.

Eh non, ça persiste, peut être qu'un simple redémarrage de vim ne suffit pas à vider le cache de vimspector ?

Je ne sais plus trop les essais que je fais, sûrement des choses comme supprimer les dossiers de vimspector, ceux de jest (qui a aussi un cache…).

Bon, en soit, ce n'est pas si gênant, je perd un peu de temps (genre moins d'une minute, ces tests ne sont pas trop long), mais ce n'est pas trop grave.

Récemment, j'ai voulu reprendre ce problème frontalement, parce que finalement, à force, c'est déstabilisant et ça me perturbe de ne pas comprendre.

Pour écarter l'hypothèse du cache de configuration de vimspector, j'exécute directement la commande dans mon terminal et je vois exactement le même phénomène: 6 fichiers de tests de subscriptions sont encore exécutés malgré la mise à jour du filtre.

Devenant fou, je repars de la commande de base et j'ajoute les arguments peu à peu:

1. node --inspect ./node_modules/.bin/jest invoices: ok, pas de subscriptions
2. node --inspect ./node_modules/.bin/jest --verbose invoices: ok, pas de subscriptions
3. etc… j'avais pas mal d'options, je les ajoute à mesure, toujours ok.
4. node --inspect ./node_modules/.bin/jest --bail 1 --verbose invoices: les 6 fameux fichiers de subscriptions s'exécutent à nouveau

Donc, finalement je me rend compte que c'est l'option bail qui me pose problème. Jest la décrit ainsi:

--bail
Alias: -b. Exit the test suite immediately upon n number of failing test suite. Defaults to 1.

Oui, je sais, c'est un peu bête de préciser la valeur par défaut, mais ça me rappelle que je peux la changer si besoin.

Bon, je commence à enfin cerner le problème, j'essaie d'exécuter:

node --inspect ./node_modules/.bin/jest --bail=1 --verbose invoices

et paf, ça marche !

En ajoutant le signe égal entre --bail et 1, j'ai précisé à jest, que c'était à --bail que la valeur 1 devait être donnée.

Et là, j'ai enfin compris pourquoi ces fameux tests de subscriptions s'exécutaient tout le temps: les 6 fichiers se nommaient avec une variante du genre subscriptions_1month, subscriptions_1year… ils contenaient tous un 1 dans leur nom !

Voilà, donc toutes mes hypothèses étaient fausses:

1. vimspector fonctionne très bien, pas de problème de cache
2. le cache de jest n'était pas en cause non plus
3. ces fameux 6 fichiers de tests subscriptions avaient quelque chose de spécial par rapport à tous les autres :)
4. je n'ai jamais utilisé la commande comme il faut: j'ai toujours demandé malgré moi à jest de filtrer les fichiers de tests invoice ET ceux qui contiennent 1. Avant d'avoir la fonctionnalité subscriptions, aucun de nos fichiers de tests ne contenaient de 1 dans leur nom, donc je ne l'avais jamais vu.
5. la valeur de l'argument --bail ne peut pas être donnée après un espace, comme c'est le cas dans la plupart des lignes de commandes.

C'est assez dur de comprendre ces bugs qui ne sont pas vraiment du fait du logiciel informatique, mais des hypothèses anodines dont on a l'habitude et qui peuvent parfois ne pas toujours être suivie (la manière de passer des arguments cette fois).

Je pense que le comportement de Firefox est très logique: tu possèdes une machine qui a de la mémoire disponible, il n'y a aucune raison de ne pas l'employer par défaut.

Mais toi, tu as besoin de cette mémoire et tu ne l'exprimes pas, puisque tu ne réserves pas explicitement la mémoire.

Remarque d'ailleurs que l'effet de bord de cache des fichiers dans la mémoire utilise exactement la même logique que Firefox: "il y a de la mémoire libre, alors on peut l'utiliser".

La solution que barmic et moi on essaie de te faire faire est: "il faut réserver la mémoire pour ces fichiers".

Comme ça, tu dis explicitement à tous les process de ta machine: cette mémoire j'en ai besoin et j'y stock mes fichiers.

dm-cache à l'aire vraiment bien, parce qu'il permet la synchronisation entre mémoire et disque selon différentes policy. Mais le cas d'usage de dm-cache semble plutôt d'avoir un petit SSD rapide qui fait cache pour un gros HDD lent. Je ne suis pas sûr que tu puisses faire directement du cache RAM…

Bien sûr l'autre solution serait de limiter chaque process de ta machine à une quantité stricte de mémoire. Mais c'est beaucoup plus compliqué à faire puisque tu ne dis jamais "je réserve cette mémoire" et que la logique "utiliser la mémoire inutilisée" est toujours cohérente.

Les ordinateurs sont très bêtes, c'est toujours beaucoup plus simple de les gérer quand on est explicite avec eux 😉

Ah et sur tout, il ne faut pas oublier la dernière étape où tu copies depuis le tmpfs vers le fichier d'origine, si non tout est perdu au redémarrage !

Cette commande va tout simplement lire tous les fichiers entièrement et donc les charger en cache disque.

En fait, j'y ai réfléchi à nouveau et je me disais qu'il devait bien y avoir un moyen avec Linux pour lui faire garder des fichiers en mémoire tout le temps.

Est-ce que tu as essayé de faire la procédure ci-dessous ?

• Créer un point de montage en mémoire avec le système de fichier tmpfs
• Copier tes fichiers dans ce point de montage (à la place de ta commande)
• Configurer tes logiciels pour lire les fichiers depuia le tmpfs

Si je ne me trompe pas, tmpfs va réserver la mémoire pour tes gros fichiers et du coup tu n'auras plus de soucis d'invalidation du cache 😀

Quand on parle de GTK, c'est bien avec Qt qu'il faut comparer et non pas KDE.

La question est donc: est-ce que le file chooser de Qt propose ça lui-même ou c'est les library de KDE qui ajoutent ces fonctionnalités ?

En plus de tout ces points, le problème est aussi de le faire dans GTK qui ne devrait pas trop être lié à une plateforme particulière.

GTK n'est pas utilisé uniquement par GNOME, mais aussi par Xfce, Lxde, Windows MacOS…

En plus, je verrai mal GTK tirer des dépendances comme Tracker pour analyser les fichiers récents, les metadata des images et la recherche sur le disque.

Encore un problème, c'est qu'il n'y a pas vraiment d'interface de configuration du sélectionneur de fichier, comme on peut le trouver sur Nautilus (par exemple, l'option ne pas faire de vignette si le fichier dépasse 5Mo ou est dans un répertoire distant…).

En plus, les développeurs de GTK / GNOME sont en plus en général assez réticents à la configuration car ça complexifie beaucoup la maintenance et la qualité du code.

Est-ce que GTK doit intégrer quasiment Nautilus et Tracker complètement juste pour permettre de choisir un fichier ?

Apparemment, après la lecture du rapport gitlab, il semblerait qu'il y a statu quo avec l'implémentation actuelle qui est un difficile équilibre entre aucune fonctionnalité avancée et une implémentation complète de Nautilus.

Merci pour ces exemples :)

Si je comprends bien le code de nginx utilise 6 processus différents pour traiter les requêtes.

Je pense que pour pouvoir comparer avec Node.js, il faudrait évaluer avec un seul worker process.

En effet, Node.js ne démarre qu'un seul processus avec un seul thread par défaut.

Il y a quelques années, Broadcom a acheté Computer Associates qui était l'éditeur de l'ordonnanceur AutoSys Workload Automation que nous utilisons dans ma boite à grande échelle. Résultat : l'année suivante le coût de la maintenance a été multiplié par 2. Merci Broadcom !

Je ne connais rien dans ce domaine, mais est-ce que la licence était vendue à perte avant ?
Se pourrait-il que Broadcom, voyant la comptabilité de Computer Associates, décide de doubler le prix de la licence d'AutoSys Workload Automation simplement pour le garder en vie ?

LSP c'est très bien pour aider à coder, mais il ne faut pas oublier le debugger avec son protocole DAP :)

Je ne sais pas ce qui existe pour emacs, j'avais donné quelques informations pour vim dans un ancien journal.

Quelqu'un a t-il parmi vous une expérience avec le combo kdrive et rclone? En tout cas c'est reparti pour un tour de jus de cerveau…

Non, je n'ai pas essayé kdrive avec rclone.

Petite réticence, il semble que par défaut l'excellent https://rclone.org/#providers ne supporte pas kdrive en natif et qu'il faille passer par un montage webdav intermédiaire. Je n'ai aucune idée de la fiabilité de ce système, le but étant de téléverser toutes mes sauvegardes borg.

Par contre, Infomaniak a une offre Swiss Backup que j'utilise justement pour envoyer les backups incrémentaux avec rclone.

Oui, tout à fait, c'est pour ça que j'écrivais dans la note que c'était aussi possible d'installer le client VPN directement sur la machine à rendre accessible sur Internet.

C'est un peu plus compliqué dans ce cas à bien configurer le NAT et le firewall du routeur tplink, mais ça doit être faisable :)

Hello !

à cause des ip dynamiques sur les boxs donc les nas qui sont connectés dessus
il faut créer un alias dans la gestion dns de son domaine et activer un dyndns pour celui ci

En pratique, l'adresse IP peut rester stable très longtemps si tu as toujours une machine connectée sur le réseau. À l'époque, j'avais eu des changements d'adresses uniquement lorsque je déménageais.

Par contre, si tu restes avec cette adresse IP (pas si) dynamique, le problème c'est que tu ne pourras pas avoir de Reverse DNS. Ça n'impacte que le service mail, donc tu peux déjà faire beaucoup de choses avec ce genre d'adresse.

Une autre solution est de louer une adresse IPv4. C'est bien plus cher, mais tu as l'assurance d'avoir une adresse IP stable et, selon les fournisseurs de service, tu peux faire configurer le Reverse DNS (pour que les autres fournisseurs de mails soient contents…).

Tu peux le faire en louant un service VPN.

La qualité du service VPN est assez importante, puisque le débit et la stabilité de ta connexion va dépendre du service VPN en plus de ton FAI.

Ça fait quelques mois que j'ai branché tout le réseau de mon logement¹ avec le VPN d'ungleich qui utilise la technologie Wireguard: IPv4-As-A-Service (pour le même prix, ils fournissent aussi un réseau IPv6 et le Reverse DNS).

Mon réseau est en ADSL, je ne vois donc pas trop de différence sur le débit maximum possible. J'ai eu de biens meilleurs résultats avec Wireguard plutôt qu'avec OpenVPN.

Ce n'est pas trop surprenant, puisque Wireguard est plus récent et il est implémenté directement dans le noyau Linux alors qu'OpenVPN est en espace utilisateur.

Cette configuration à l'aire juste, je ne comprends pas pourquoi ça ne marche pas, désolé :(

Si je ne me trompe pas, la recherche par fichier du Shell utilise Nautilus et Nautilus utilise lui-même Tracker.

J'ai essayé, sous Debian Bullseye, la commande tracker search etourdi (Debian a la version 2 de Tracker) et elle me donne bien en résultat le fichier étourdi.txt que j'avais crée. Bizarre…

Merci beaucoup pour ce journal avec les explications détaillées pour Podman. Moi qui ai passé plusieurs semaines sur le mode rootless de Docker, la gestion des UID-GID et le partage de volumes entre hôte et container, j'ai lu avec beaucoup d'attention ton retour d'expérience. Jusque là je n'avais pas vraiment testé Podman, et encore moins en rootless. Ce journal va me lancer !

De rien :) J'avais trouvé difficile de rassembler toutes les informations nécessaires, alors je me suis dit que ça pourrait être utile à d'autres.

Si tu as déjà Docker en mode rootless, peut être que tu n'as pas besoin de changer de système.

Est-ce que la commande en question est exécutée dans la namespace par l'utilisateur root (root du namespace) ?

D'après le man de podman-unshare, tu as tout à fait compris ce qui se passe:

podman-unshare(1)()

NAME
podman-unshare - Run a command inside of a modified user namespace

SYNOPSIS
podman unshare [--] [command]

DESCRIPTION
Launches a process (by default, $SHELL) in a new user namespace. The user namespace is configured so that the invoking user's UID and primary GID appear to be UID 0 and GID 0, respectively. Any ranges which match that user and group in /etc/subuid and /etc/subgid are also mapped in as themselves with the help of the newuidmap(1) and newgidmap(1) helpers.

[…]

EXAMPLE
$ podman unshare id
uid=0(root) gid=0(root) groups=0(root),65534(nobody)

En théorie, la recherche non-sensible aux accents ni à la casse dépend du contexte de la langue utilisée pour la recherche. Cette théorie est définie par Unicode.

J'imagine que Gnome Shell et Nautlius utilisent pour la recherche la langue configurée par l'utilisateur.

Est-ce que tu peux vérifier que la langue de ta session est bien le français ?

Qu'est-ce que tu as comme résultat quand tu liste tes variables d’environnements avec la commande suivante ?

env | sort | grep -E "^(LC_|LANG)"

Moi, pour l'instant avec OpenSuse Tumbleweed, je n'ai que LANG=fr_FR.UTF-8 et Nautilus n'arrive pas non plus à trouver de résultat quand la recherche est sans accent.

Merci pour l'info, je ne savais pas que les images pouvaient être signées avec Docker.

C'est assez chouette, parce que ça permettrait d'avoir la même confiance que pour l'ajout du repository apt externe et ce sans avoir à donner les droits root.

Pour le point des tags "latest", c'est très juste, il faut que je corrige ça.

Merci pour les idées!

J'ai oublié de mettre le fichier service généré par podman (j'ai juste ajouté la ligne OnFailure):

# container-grafana.service
# autogenerated by Podman 3.0.1
# Thu Apr 28 23:09:17 CEST 2022

[Unit]
Description=Podman container-grafana.service
Documentation=man:podman-generate-systemd(1)
Wants=network.target
After=network-online.target
OnFailure=notify-admin@%n

[Service]
Environment=PODMAN_SYSTEMD_UNIT=%n
Restart=on-failure
TimeoutStopSec=70
ExecStartPre=/bin/rm -f %t/container-grafana.pid %t/container-grafana.ctr-id
ExecStart=/usr/bin/podman run --conmon-pidfile %t/container-grafana.pid --cidfile %t/container-grafana.ctr-id --cgroups=no-conmon -d --replace --name=grafana -p 3000:3000 --env-file /home/grafana/grafana.env --volume /home/grafana/grafana:/grafana --net slirp4netns:allow_host_loopback=true docker.io/grafana/grafana-oss
ExecStop=/usr/bin/podman stop --ignore --cidfile %t/container-grafana.ctr-id -t 10
ExecStopPost=/usr/bin/podman rm --ignore -f --cidfile %t/container-grafana.ctr-id
PIDFile=%t/container-grafana.pid
Type=forking

[Install]
WantedBy=multi-user.target default.target

Pour tes idées, je commence par la deuxième qui repose sur celle proposée par la génération automatique de podman.

Utiliser l'option --log-driver=journald (mais je ne sais pas si c'est déjà supporté par la version de podman proposée par debian).

J'avais essayé ça, mais j'ai eu l'impression que ça ne marchait pas.

En gardant le fichier tel que généré et en ajoutant les arguments --log-driver=journald --log-opt tag=grafana, les logs existent bien, mais ils apparaissent dans le journal système et ils sont préfixés par conmon.

Ça m'a vraiment surpris que ça apparaissent dans le journal --system. C'est parce que journald détecte que l'utilisateur grafana est un utilisateur système (avec un UID < 1000) et il redirige ses logs directement dans les logs systèmes.

Donc, malgré moi, lors de la création de l'utilisateur, j'avais pris le bon choix de demander d'en faire un utilisateur système car ça me centralise les logs (ce que je cherchais à faire justement :)).

Pour le problème du préfixe conmon, il faudrait que j'essaie l'option --log-opt tag=grafana, mais avec podman 4, d'après ce bug (Debian a un podman en version 3.1).

Pour l'instant, je vais essayer ta première idée, car je vais pouvoir changer le tag syslog avec ça.

Deux méthode: fournir ta propre unit file pour le service au lieu d'utiliser podman generate et démarrer le pod comme s'il était lancé en interactif, non détaché.

Je n'y avais pas pensé, merci.

J'ai essayé et ça semble bien fonctionner, même si ce n'est pas la solution officielle.

Pour le faire, j'ai enlever l'argument -d de la commande podman run, j'ai passé le Type en simple. En plus, j'ai ajouté l'option SyslogIdentifier=%N pour éviter de voir toujours écrit podman dans les logs.

Pour gedit, le mainteneur a demandé de retirer son projet du cœur de GNOME.

Or le projet GNOME considère important de proposer un éditeur de texte a ses utilisateurs.

Le nouveau projet leur permet d'en créer un qui suit les recommandations de l'équipe design.