Enfin, aux usa, et je présume en france, ils se renseignent de plus en plus sur le fait d'auditer très sérieusement un hyperviseur, et ensuite de monter les couches pour la sécurité (un intérêt de la virtualisation).
La virtualisation ne répond pas à un besoin de sécurité mais sert à installer plusieurs systèmes d'exploitation sur la même machine. Lire la réponse très drôle de Theo de Raadt à ce sujet : http://kerneltrap.org/OpenBSD/Virtualization_Security
Tk est très utilisé en Python car il fait parti de la bibliothèque standard et permet donc d'avoir une interface graphique portable. Il me semble d'ailleurs que ça utilise aussi Tcl en interne (à vérifier).
En voyant la vidéo sur la page d'accueil, je trouve le moteur physique assez réaliste bien que je ne sois pas habitué à conduire des bus et camions :-) Il semble que le moteur physique ait été écrit de zéro car je ne vois pas de référence à une bibliothèque externe comme ODE [1]. Je trouve qu'un bon moteur physique améliore beaucoup les jeux vidéos. J'adore voir bouger mes structures dans World of Goo (pas libre, mais amusant et bien fignolé). Il y a même un société (AGEIA) qui vend une carte d'accélération de moteur physique (PhysX)... mais ça semble être un flop. Après les GPU, à quand la généralisation des PPU [2] ? :-)
NO. 5,579,517 : Common Name Space for Long and Short Filenames
NO. 5,758,352 : Common Name Space for Long and Short Filenames
Autrement dit : TomTom utilise le système de fichier FAT et la technologie ultra moderne permettant, mesdames et monsieurs, de ne pas stocker 8 lettres pour le nom (+ 3 pour l'extension), mais 255 lettres (au total). WOW ! Pourquoi s'emmerdent-t-ils avec FAT sachant que Microsoft va forcément sortir leurs brevets avec leur système de fichier de merde ? (fragmentation, peu fiable, complexe, etc.)
Il faut comparer ce qui est comparable : Windows c'est en gros un noyau + notepad.exe. Debian c'est 23.000 paquets... Dans un Windows de base, tu n'as aucun équivalent à imagemagick, phppgadmin, perl, courier-authlib, lighttpd, cacti, ikiwiki, cacti, iceape, nagios-plugins (bulletins de sécurité de Debian que tu as listé) ; normal donc qu'il y ait moins de régressions :-)
Resultat, le ministere de la defense se retrouvera dans une course contre la montre: trouvera t'il les variantes avant l'ennemi ? Dur a dire...
Si j'ai bien compris...
Dans le cas Windows, le ministère est purement un utilisateur où il attend que Microsoft corrige gentillement les failles et il n'a besoin de s'occuper de rien. Pas de chinois, pas de faille, pas de 0-day, Windows c'est la tranquilité absolue.
Dans le cas de Linux, le ministère devient éditeur et doit patcher lui-même les logiciels, écrire des correctifs, auditer le code et est menacé sans arrêt par des terroristes qui leurs envoyent des patchs verrolés et des chinois qui construisent une collection énorme de 0-days...
Ça marche pas comme ça. Un ministère va utiliser une distribution Linux et attendre que l'éditeur fournisse les mises à jour, quitte à payer (!) le support (ex: Red Hat).
Au niveau de l'audit : pour trouver de bugs, code source/binaire compilé, même combat. Il existe des outils pour auditer les deux. Sauf que si on a les sources, on a deux fois plus d'outils, passons. Le problème est plus du côté de la manière de corriger. Dans le cas de Windows, il est presque impossible de se passer de Microsoft (enfin, de l'éditeur du logiciel dont on n'a pas les sources). Alors que pour Linux, tu peux patcher les sources et maintenir ta propre version du paquet (ça coûte pas cher en maintenance), au moins en attendant que l'éditeur patche (ou alors si tu veux garder le correctif pour toi).
relire des grosses contribs pour y trouver des failles qui auraient ete inserees est un vrai cauchemard
Euh, pourquoi présupposes-tu que les contributions externes contiennent forcément des failles ? Quand tu installes un pilote Nvidia sous Windows, tu vas auditer son code ? C'est quand même un gros bout de code qui tourne en espace noyau. Et pour Flash ou Quicktime ?
Sous Linux, les sources de tous les logiciels sont disponibles et on peut donc auditer le code de Firefox, Gnash, Gstreamer, etc. D'ailleurs, d'autres le font dans le monde entier et ont déjà rapportés de bugs s'ils en ont trouvés ;-)
J'ai tendance à avoir moins confiance dans les logiciels dont je n'ai pas accès aux sources. Autre nuance entre Windows et Linux : sous Windows, les éditeurs ont souvent des motivations financières. Certains vont jusqu'à se laisser tenter par l'ajout de logiciels espions (envoi d'information, insertion de pub, etc.)
Tant qu'ils sont pret a faire confiance aux distribs c'est bon, le jour ou ca change, ils seront dans la mouise
L'avantage de Linux est qu'on a le choix de la distribution. Mais je ne vois pas pourquoi la confiance dans une distribution serait brisée ? À cause de la mauvaise qualité de la distribution ? Si oui, suffit d'en changer.
la Chine n'aura pas de probleme a dire a son unite de combat informatique d'arreter de chercher des failles dans Windows et de les chercher dans Linux, ils sont payes pour ca
Pourquoi prends-tu la Chine comme cible ? En matière de cybercriminalité, je ne pense pas que ça soit les pire. Je pense d'ailleurs que la cybercriminalité est un peu partout : états-unis, pays d'europe de l'est, chine, etc. Ce n'est pas parce que l'IP est chinoise que c'est un chinois qui a lancé l'attaque ;-)
au vu des statistiques ils en trouveront tout autant si ce n'est plus.
Hum, encore du FUD Microsoft qui utilise uniquement le nombre bugs et non pas la criticité ou la période pendant laquelle le bug n'était pas patché. Je reste convaincu que la diversité des distributions Linux, la réactivité de corrections de bugs et la facilité de mise à jour sont d'autant de forces qui font que Linux est plus difficilement attaquable. D'ailleurs, Fedora pousse SELinux et Ubuntu pousse AppArmor, on ne reste pas les bras croisés en attendant les vilains pirates chinois ;-)
Disons plus généralement que les navigateurs web se prennent pour des systèmes d'exploitation. Faut voir HTML5 : ils ont ajouté le support d'une base de données, du son et de la vidéo. Problème : les navigateurs web exploitent très mal les ressources de l'ordinateur et n'isolent pas les ressources (Chrome s'y essaye) : aucune/peu de sécurité et faible tolérance aux erreurs... Et ça ne fait qu'empirer.
Il y aura une conférence, c'est bien. Mais où ? quand ? Sera-t-elle diffusée sur le net ?
Poster un commentaire c'est bien, mais as-tu lu la dépêche ?
--
J'ai vu quelques schémas du protocole réseaux sur Google Code. Je pense que ça sera justement expliqué durant la conférence...
Certains éditeurs comme Google et Microsoft ont intégré le fuzzing à leur processus de développement (au lieu de faire le fuzzing à la fin du développement ou après la sortie du produit). pasBill pasGates qui travaille pour Microsoft en parlait dans un de mes précédents journal sur Fusil : http://linuxfr.org/comments/885931.html#885931
Je ne sais pas si Google et Microsoft utilisent le fuzzing dans tous les développements, mais ce qui est sûr, c'est qu'ils en font. Disons qu'ils sont assez exposés aux pirates...
Je ne vois pas ce que les brevets viennent faire là. Il s'agit de valider le bon fonctionnement d'un système d'exploitation exécuté dans un hyperviseur. Les brevets jouent quand on réutilise une technologie brevetée. Je vois plus ça comme de la correction de bogues : si un bogue est trouvé, ils vont corriger leur hyperviseur et/ou leurs systèmes d'exploitation.
je cherche la stabilité à terme. Python ne me l'apporte pas, car pensée à court terme.
Pourquoi tu dis ça ? Est-ce toujours cette obsession (Python3 va forcer tout le monde à migrer) ? En supposant que Python3 forcerait tout le monde à migrer (ce qui est faux), ça fait quand même 8 ans que la compatibilité ascendante n'avait pas été cassée.
As-tu suivi un peu PHP 4.0 => 4.3 => 4.4 => 5.0 ? Moi j'y ai goûté, et c'est un sacré merdier... Autre exemple : Perl6 va tout révolutionner, super. Par contre, il n'y a aucun outil de conversion Perl5 vers Perl6, il faut tout recoder manuellement ! Pourtant, c'est un langage de linguiste, ils auraient pu écrire un traducteur ;-)
Tu compares la stabilité de Python à la stabilité du C++, mais ce n'est pas comparable. Quand tu installes Python, tu as directement des bibliothèques pour décompressser une archive ZIP, te connecter à un serveur FTP, envoyer des emails, etc. C'est aussi cette ENORME bibliothèque standard qui est restée disponible et stable durant toute cette période. Est-ce que l'API de Boost et de Qt est restée stable sur 8 ans ? Je ne crois pas : il faut réécrire les programmes Qt3 pour Qt4...
Python, c'est comme programmer avec Visual C++
Visual C++ est un logiciel propriétaire uniquement disponible sous Windows et son développement dépend du bon vouloir de Microsoft.
quand même, ça reste marrant de voir les gens aimer les langages dont la destinée est décidée par une entité. Encore un truc pas pour moi (en C/C++, c'est un comité qui décide, c'est plus démocratique)
Tu te permets de critiquer une communauté que tu méconnais totalement ! Es-tu réellement capable de proposer une nouvelle fonctionnalité dans le langage C++ ? Pour Python, je te dirai que tu peux car il n'y a pas de comité : n'importe qui peut proposer ce qu'il veut, les idées sont longuement discutées et les meilleures sont implémentées. Les changements lourds (changement du langage) passent par l'écriture d'une PEP : http://www.python.org/dev/peps/
Bien que je sache pas du tout comment évoluent les langages C++ et Java, ça me semble quand même beaucoup plus fermé (fait par des sociétés, passe par un organisme de normalisation on ne peut plus sérieux, etc.).
> Jython et IronPython implémentent un peu comme ça leur chante quitte à briser la compatibilité
Et ca ne te pose pas un problème?
J'avais testé Jython et IronPython il y quelques temps, alors :
- C'est désuet : Jython 2.2 implémente Python 2.2 alors que la dernière version stable est Python 2.6 (et on parle même pas de Python 3.0...) => Jython 2.5 est en développement, Sun semble pousser le projet, chouette !
- Ça m'intéresse pas : Jython nécessite la JVM et IronPython le truc .NET ou Mono, je préfère CPython qui me semble plus léger (et portable?)
- IronPython est bogué et incompatible avec CPython : j'ai rapporté plusieurs bugs mais je n'ai pas obtenu de réponses... j'ai pas envie de toucher à du code .NET. Je me souviens que Microsoft avait déjà écrit des implémentations incompatibles de JavaScript, puis HTML, puis XSLT, etc. Bref, c'est sans espoir et c'est tant pis pour eux :-p
Note : PyPy est un bordel expérimental qui ne semble intéresser personne et n'est pas aussi performant qu'ils auraient voulus. Perso, j'ai abandonné PyPy car je ne comprend rien au code, je ne peux pas contribuer.
Par contre, les incompatibilités C/C++, avec plusieurs fournisseurs de compilateur, ça te pose un problème?
Je considère Jython et IronPython comme très minoritaires (à vrai dire, je ne connais personne qui l'utilise !?). Tant dis que CPython est installé de base sous Linux et Mac OS X, de plus en plus présent sous Windows, et commencer à rentrer dans nos téléphones mobiles. Pourquoi faudrait-il avoir plusieurs implémentations majeures si l'implémentation de référence convient à tout le monde ? Bon, je crois qu'en même qu'à terme Jython, IronPython et PyPy vont tendre vers une compatibilité maximale (ils ont tout intérêt pour pouvoir exécuter le code existant...).
"l'entreprise" a montré qu'elle ne se souciait pas du vieux code (incompatibilité v2 --> v3)
Mais d'où sort cette idée que Python3 signe l'arrêt de mort de Python2 ? Python2 continue d'être développé, pour preuve 2.6.1 est sorti récemment. D'ailleurs, 2.7 est prévu et trunk est encore la branche 2.x (la branche 3.x, py3k, est à part !).
D'ailleurs, tu te trompes doublement car il existe un programme de conversion (2to3) qui permet de migrer du code Python2 sans aucun effort ;-) De par mon expérimente, pour un projet pur Python de 25.000 lignes, il m'a fallu une après-midi pour faire la conversion. Mais mon projet reste du Python2, j'ai juste écrit des scripts pour le convertir en Python3 pour les gens qui veulent essayer.
Il se passe quoi quand il te manque un module python pour lancer ton executable python ?
Si tu utilises la bibliothèque standard, tu es sûr que le module est disponible.
Pour les dépendances (modules tiers), c'est le même bazar qu'importe le langage. Pour Python, y'a la méthode setuptools, la méthode Debian, etc.
Est-ce que toutes les implémentations de python sont conformes ?
En gros, il y a CPython (l'implémentation de référence) et les autres :-) PyPy est compatible à 99% (allez, on va dire 100%), mais reste expérimental. Jython et IronPython implémentent un peu comme ça leur chante quitte à briser la compatibilité (je pense en particulier à IronPython qui fait n'importe quoi) :-/
Y'a t'il un truc strictement décrit qui permettrait de confirmer que la lib correspond à sa spé ou on part du postulat que c'est vrai ?
Pour mesurer le compatibilité, il y a l'énorme suite de tests sur la bibliothèque standard.
Pour information, de quand datent tes connaissances sur le C++ ?
Hum, ça doit faire 2/3 ans que j'ai plus touché au C++.
« ... it is in wxWidgets' best interests to avoid use of templates. Not all compilers can handle templates adequately so it would dramatically reduce the number of compilers and platforms that could be supported. »
« The standard C++ string class is not used, again because it is not available to all compilers, and it is not necessarily a very efficient implementation. »
Le fichier README parle d'une version stable 1.0. Mince, je me suis fait avoir j'ai pris une version 0.6 qui doit sûrement être instable. Je vais pour charger la version git du coup : $ git co ssh://jbdenis.net:9999/belier
git: 'co' is not a git-command
$ git checkout ssh://jbdenis.net:9999/belier
fatal: Not a git repository
$ svn co ssh://jbdenis.net:9999/belier
svn: Schéma d'URL non reconnu pour 'ssh://jbdenis.net:9999/belier'
Bon, pas compris. Tiens, un fichier exécutable qui s'appelle bel, essayons ça :$ ./bel
SALUT
help
??
^D
Euh, qu'est-ce qui s'est passé ? Il n'y a pas d'invite, il ne me dit pas ce qu'il fait, j'ai rien compris. En lisant, les sources je découvre que « bel » (bel... belier ?) prend des arguments !$ ./bel --help
Usage: bel [options]
Options:
--version show program's version number and exit
-h, --help show this help message and exit
-e FICHIER, --entree=FICHIER
contient les ordres pour générer le ou les scripts
-s RÉPERTOIRE, --repertoire-sortie=RÉPERTOIRE
répertoire où entreposer les fichiers générés
-d DÉLAI, --delai=DÉLAI
en secondes pour exécuter une commande du script
$ ./bel --version
bel 0.1
Décidément, j'ai vraiment pas la bonne version :-)
Pourquoi le projet génère des scripts shell plutôt que des scripts Python ? Python est plus portable que shell (moins de conflits entre sh, bash, zsh, etc.) ;-)
Je cherchais la référence à Fusil dans le code source, mais je n'ai rien vu. Le site web parle de tests, je ne les vois pas non plus dans le tarball.
Bélier semble stocker les mots de passe en clair. C'est pas terrible. Si un pirate vole un fichier .sh, il connaît les nom des machines, les logins et mots de passe associés. Perso je bloque l'authentification par mot de passe et force l'authentification par certificat (fichiers ~/.ssh/id_rsa et ~/.ssh/id_rsa.pub). Ma clé SSH est protégée par une longue passphrase. Même si un pirate me vole la clé, il lui faudra la passphrase pour l'utiliser.
Oui, donc en gros, de ce que je lis, le plus gros bonus de Python est qu'il impose une bibliothèque "standard" alors qu'en C/C++, on te laisse le choix
Hum, quand je vois la batterie de tests lancés par les autotools pour tester si on a bien tout ce qu'il faut, je trouve Python beaucoup plus agréable. J'avais fait un peu de C++, et ce que j'en ai retenu : c'est qu'on ne peut pas supposer que la STL est complètement et correctement implémentée. Je me souviens de wxWindows (maintenat appelé wxWidgets) qui avait du mal à migrer à la STL (ex: utiliser std::string plutôt que leur classe maison) car ils visent une grande portabilité et la plupart des compilateurs n'étaient pas prêt. Résultat : chacun recode son std::string (ex: QString dans Qt) dans son coin... Et encore, j'ai pris l'exemple le plus trivial, la STL c'est un peu plus gros que juste les chaînes de caractères ;-)
Qui a dit que Python impose une bibliothèque standard ? Oui, elle est disponible à coup sûr, mais libre à toi de l'utiliser ou non ! Bien sûr, tu peux recoder ta propre bibliothèque standard à toi et réutiliser plein de bibliothèques non standards (ex: setuptools, twisted, PyQt, ...). Mais pour les tâches simples, on est très content d'avoir des bibliothèques fonctionnelles de base.
avahi demande que le port udp/5353 soit ouvert pour fonctionner.
J'ai appris récemment qu'avahi permet de contacter une machine dans le réseau local selon sous nom sous la forme « nom.local ». Exemple : « ping lisa.local » va résoudre le nom « lisa » avec avahi. Ça évite de mettre en place un serveur DNS ou de modifier /etc/hosts sur chaque machine (j'utilisais la 2e solution, avec 3 machines c'est supportable).
Debian Sid était gelé (si si !) à cause de Lenny. Maintenant que Lenny est sorti, ça va décoincé Sid pour accueillir de nouvelles versions comme KDE4.
J'ai un ami qui utilise KDE4 et il me répète régulièrement que c'est instable et incomplet. Je préfère que Debian continue d'embarquer KDE3. KDE 4.2 est tout frais, Debian n'a pas eu le temps de packager le bousin.
J'ai retouché un peu la dépêche : gcc était présent deux fois, j'ai supprimé Emacs de la catégorie bureautique et j'ai simplifié un peu les versions. Pourtant afficher deux versions pour MySQL et Python ? Pour python par exemple, c'est 2.5.2 la version par défaut ? (quand on tape "python")
Je ne vois aucune référence au nouvel installeur graphique. Les notes de sortie de Lenny parlent aussi de Xfce, LXDE, FHS, LSB, OpenJDK (Python, Perl mais pas Java ? pourtant c'est "un peu" utilisé comme langage :-)), Asterix, etc.
Il serait bon de rappeler brièvement ce qu'est le projet Debian, parler des variantes (ex: Ubuntu), et indiquer les différents moyens de télécharger (installer?) Lenny.
[^] # Re: Critique = faut que ça marche sans bug et tout le temps
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 2.
La virtualisation ne répond pas à un besoin de sécurité mais sert à installer plusieurs systèmes d'exploitation sur la même machine. Lire la réponse très drôle de Theo de Raadt à ce sujet :
http://kerneltrap.org/OpenBSD/Virtualization_Security
[^] # Re: Cool
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Conférence EuroTcl 2009. Évalué à 2.
# Moteur physique
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Passage de Rigs of Rods en Open Source. Évalué à 4.
[1] Open Dynamics Engine : http://www.ode.org/
[2] Physics processing unit : http://fr.wikipedia.org/wiki/Physics_processing_unit
[^] # Re: Les brevets
Posté par Victor STINNER (site web personnel) . En réponse au journal MS attaque TomTom et Linux (putain de brevets). Évalué à 5.
NO. 5,758,352 : Common Name Space for Long and Short Filenames
Autrement dit : TomTom utilise le système de fichier FAT et la technologie ultra moderne permettant, mesdames et monsieurs, de ne pas stocker 8 lettres pour le nom (+ 3 pour l'extension), mais 255 lettres (au total). WOW ! Pourquoi s'emmerdent-t-ils avec FAT sachant que Microsoft va forcément sortir leurs brevets avec leur système de fichier de merde ? (fragmentation, peu fiable, complexe, etc.)
[^] # Re: Critique = faut que ça marche sans bug et tout le temps
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 2.
[^] # Re: Critique = faut que ça marche sans bug et tout le temps
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 2.
Si j'ai bien compris...
Dans le cas Windows, le ministère est purement un utilisateur où il attend que Microsoft corrige gentillement les failles et il n'a besoin de s'occuper de rien. Pas de chinois, pas de faille, pas de 0-day, Windows c'est la tranquilité absolue.
Dans le cas de Linux, le ministère devient éditeur et doit patcher lui-même les logiciels, écrire des correctifs, auditer le code et est menacé sans arrêt par des terroristes qui leurs envoyent des patchs verrolés et des chinois qui construisent une collection énorme de 0-days...
Ça marche pas comme ça. Un ministère va utiliser une distribution Linux et attendre que l'éditeur fournisse les mises à jour, quitte à payer (!) le support (ex: Red Hat).
Au niveau de l'audit : pour trouver de bugs, code source/binaire compilé, même combat. Il existe des outils pour auditer les deux. Sauf que si on a les sources, on a deux fois plus d'outils, passons. Le problème est plus du côté de la manière de corriger. Dans le cas de Windows, il est presque impossible de se passer de Microsoft (enfin, de l'éditeur du logiciel dont on n'a pas les sources). Alors que pour Linux, tu peux patcher les sources et maintenir ta propre version du paquet (ça coûte pas cher en maintenance), au moins en attendant que l'éditeur patche (ou alors si tu veux garder le correctif pour toi).
[^] # Re: Critique = faut que ça marche sans bug et tout le temps
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 6.
Euh, pourquoi présupposes-tu que les contributions externes contiennent forcément des failles ? Quand tu installes un pilote Nvidia sous Windows, tu vas auditer son code ? C'est quand même un gros bout de code qui tourne en espace noyau. Et pour Flash ou Quicktime ?
Sous Linux, les sources de tous les logiciels sont disponibles et on peut donc auditer le code de Firefox, Gnash, Gstreamer, etc. D'ailleurs, d'autres le font dans le monde entier et ont déjà rapportés de bugs s'ils en ont trouvés ;-)
J'ai tendance à avoir moins confiance dans les logiciels dont je n'ai pas accès aux sources. Autre nuance entre Windows et Linux : sous Windows, les éditeurs ont souvent des motivations financières. Certains vont jusqu'à se laisser tenter par l'ajout de logiciels espions (envoi d'information, insertion de pub, etc.)
Tant qu'ils sont pret a faire confiance aux distribs c'est bon, le jour ou ca change, ils seront dans la mouise
L'avantage de Linux est qu'on a le choix de la distribution. Mais je ne vois pas pourquoi la confiance dans une distribution serait brisée ? À cause de la mauvaise qualité de la distribution ? Si oui, suffit d'en changer.
[^] # Re: Critique = faut que ça marche sans bug et tout le temps
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 4.
Pourquoi prends-tu la Chine comme cible ? En matière de cybercriminalité, je ne pense pas que ça soit les pire. Je pense d'ailleurs que la cybercriminalité est un peu partout : états-unis, pays d'europe de l'est, chine, etc. Ce n'est pas parce que l'IP est chinoise que c'est un chinois qui a lancé l'attaque ;-)
au vu des statistiques ils en trouveront tout autant si ce n'est plus.
Hum, encore du FUD Microsoft qui utilise uniquement le nombre bugs et non pas la criticité ou la période pendant laquelle le bug n'était pas patché. Je reste convaincu que la diversité des distributions Linux, la réactivité de corrections de bugs et la facilité de mise à jour sont d'autant de forces qui font que Linux est plus difficilement attaquable. D'ailleurs, Fedora pousse SELinux et Ubuntu pousse AppArmor, on ne reste pas les bras croisés en attendant les vilains pirates chinois ;-)
[^] # Re: Gestion des fenêtres
Posté par Victor STINNER (site web personnel) . En réponse au journal [HS] Safari 4 : plus impressionnant que Google Chrome. Évalué à 10.
[^] # Re: Le Bash et le truc par défaut
Posté par Victor STINNER (site web personnel) . En réponse au sondage Mon shell préféré. Évalué à 8.
Normal, ils utilisent fortunes et pas un truc incompréhensible en shell :-)
[^] # Re: ?
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Conférence sur l'échange de fichiers en 3D (VORTEX). Évalué à 2.
Poster un commentaire c'est bien, mais as-tu lu la dépêche ?
Autoréponse : woops, ça a été rajouté après coup, j'avais pas vu... Pff, ces relecteurs, ils font pas leur boulot.
[^] # Re: ?
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Conférence sur l'échange de fichiers en 3D (VORTEX). Évalué à 2.
Poster un commentaire c'est bien, mais as-tu lu la dépêche ?
--
J'ai vu quelques schémas du protocole réseaux sur Google Code. Je pense que ça sera justement expliqué durant la conférence...
[^] # Re: Un indispensable du cycle de développement
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Publication de Fusil le fuzzer 1.2. Évalué à 8.
http://linuxfr.org/comments/885931.html#885931
Google a publié un fuzzer sous GPL, Flayer :
http://code.google.com/p/flayer/
Je ne sais pas si Google et Microsoft utilisent le fuzzing dans tous les développements, mais ce qui est sûr, c'est qu'ils en font. Disons qu'ils sont assez exposés aux pirates...
[^] # Re: liste des avancées durant cette période
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Anniversaire décennal de Jabber/XMPP le 28 février. Évalué à 3.
http://linuxfr.org/topics/Jabber
# Où est le guadeloupe sur la carte ?
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche L'Agenda du Libre passe le cap des 2500 évènements !. Évalué à 2.
[^] # Re: Red Hat ?
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Partenariat entre Red Hat et Microsoft sur la virtualisation. Évalué à 2.
[^] # Re: La seule expérience Python de ma vie
Posté par Victor STINNER (site web personnel) . En réponse au journal Python, langage de l'année pour la seconde année consécutive. Évalué à 5.
Pourquoi tu dis ça ? Est-ce toujours cette obsession (Python3 va forcer tout le monde à migrer) ? En supposant que Python3 forcerait tout le monde à migrer (ce qui est faux), ça fait quand même 8 ans que la compatibilité ascendante n'avait pas été cassée.
As-tu suivi un peu PHP 4.0 => 4.3 => 4.4 => 5.0 ? Moi j'y ai goûté, et c'est un sacré merdier... Autre exemple : Perl6 va tout révolutionner, super. Par contre, il n'y a aucun outil de conversion Perl5 vers Perl6, il faut tout recoder manuellement ! Pourtant, c'est un langage de linguiste, ils auraient pu écrire un traducteur ;-)
Tu compares la stabilité de Python à la stabilité du C++, mais ce n'est pas comparable. Quand tu installes Python, tu as directement des bibliothèques pour décompressser une archive ZIP, te connecter à un serveur FTP, envoyer des emails, etc. C'est aussi cette ENORME bibliothèque standard qui est restée disponible et stable durant toute cette période. Est-ce que l'API de Boost et de Qt est restée stable sur 8 ans ? Je ne crois pas : il faut réécrire les programmes Qt3 pour Qt4...
Python, c'est comme programmer avec Visual C++
Visual C++ est un logiciel propriétaire uniquement disponible sous Windows et son développement dépend du bon vouloir de Microsoft.
quand même, ça reste marrant de voir les gens aimer les langages dont la destinée est décidée par une entité. Encore un truc pas pour moi (en C/C++, c'est un comité qui décide, c'est plus démocratique)
Tu te permets de critiquer une communauté que tu méconnais totalement ! Es-tu réellement capable de proposer une nouvelle fonctionnalité dans le langage C++ ? Pour Python, je te dirai que tu peux car il n'y a pas de comité : n'importe qui peut proposer ce qu'il veut, les idées sont longuement discutées et les meilleures sont implémentées. Les changements lourds (changement du langage) passent par l'écriture d'une PEP :
http://www.python.org/dev/peps/
Bien que je sache pas du tout comment évoluent les langages C++ et Java, ça me semble quand même beaucoup plus fermé (fait par des sociétés, passe par un organisme de normalisation on ne peut plus sérieux, etc.).
[^] # Re: La seule expérience Python de ma vie
Posté par Victor STINNER (site web personnel) . En réponse au journal Python, langage de l'année pour la seconde année consécutive. Évalué à 3.
Et ca ne te pose pas un problème?
J'avais testé Jython et IronPython il y quelques temps, alors :
- C'est désuet : Jython 2.2 implémente Python 2.2 alors que la dernière version stable est Python 2.6 (et on parle même pas de Python 3.0...) => Jython 2.5 est en développement, Sun semble pousser le projet, chouette !
- Ça m'intéresse pas : Jython nécessite la JVM et IronPython le truc .NET ou Mono, je préfère CPython qui me semble plus léger (et portable?)
- IronPython est bogué et incompatible avec CPython : j'ai rapporté plusieurs bugs mais je n'ai pas obtenu de réponses... j'ai pas envie de toucher à du code .NET. Je me souviens que Microsoft avait déjà écrit des implémentations incompatibles de JavaScript, puis HTML, puis XSLT, etc. Bref, c'est sans espoir et c'est tant pis pour eux :-p
Note : PyPy est un bordel expérimental qui ne semble intéresser personne et n'est pas aussi performant qu'ils auraient voulus. Perso, j'ai abandonné PyPy car je ne comprend rien au code, je ne peux pas contribuer.
Par contre, les incompatibilités C/C++, avec plusieurs fournisseurs de compilateur, ça te pose un problème?
Je considère Jython et IronPython comme très minoritaires (à vrai dire, je ne connais personne qui l'utilise !?). Tant dis que CPython est installé de base sous Linux et Mac OS X, de plus en plus présent sous Windows, et commencer à rentrer dans nos téléphones mobiles. Pourquoi faudrait-il avoir plusieurs implémentations majeures si l'implémentation de référence convient à tout le monde ? Bon, je crois qu'en même qu'à terme Jython, IronPython et PyPy vont tendre vers une compatibilité maximale (ils ont tout intérêt pour pouvoir exécuter le code existant...).
"l'entreprise" a montré qu'elle ne se souciait pas du vieux code (incompatibilité v2 --> v3)
Mais d'où sort cette idée que Python3 signe l'arrêt de mort de Python2 ? Python2 continue d'être développé, pour preuve 2.6.1 est sorti récemment. D'ailleurs, 2.7 est prévu et trunk est encore la branche 2.x (la branche 3.x, py3k, est à part !).
D'ailleurs, tu te trompes doublement car il existe un programme de conversion (2to3) qui permet de migrer du code Python2 sans aucun effort ;-) De par mon expérimente, pour un projet pur Python de 25.000 lignes, il m'a fallu une après-midi pour faire la conversion. Mais mon projet reste du Python2, j'ai juste écrit des scripts pour le convertir en Python3 pour les gens qui veulent essayer.
[^] # Re: La seule expérience Python de ma vie
Posté par Victor STINNER (site web personnel) . En réponse au journal Python, langage de l'année pour la seconde année consécutive. Évalué à 3.
Si tu utilises la bibliothèque standard, tu es sûr que le module est disponible.
Pour les dépendances (modules tiers), c'est le même bazar qu'importe le langage. Pour Python, y'a la méthode setuptools, la méthode Debian, etc.
Est-ce que toutes les implémentations de python sont conformes ?
En gros, il y a CPython (l'implémentation de référence) et les autres :-) PyPy est compatible à 99% (allez, on va dire 100%), mais reste expérimental. Jython et IronPython implémentent un peu comme ça leur chante quitte à briser la compatibilité (je pense en particulier à IronPython qui fait n'importe quoi) :-/
Y'a t'il un truc strictement décrit qui permettrait de confirmer que la lib correspond à sa spé ou on part du postulat que c'est vrai ?
Pour mesurer le compatibilité, il y a l'énorme suite de tests sur la bibliothèque standard.
Pour information, de quand datent tes connaissances sur le C++ ?
Hum, ça doit faire 2/3 ans que j'ai plus touché au C++.
--
Au sujet de wxWidgets, extrait de la FAQ :
http://www.wxwidgets.org/docs/faqgen.htm#stl
« ... it is in wxWidgets' best interests to avoid use of templates. Not all compilers can handle templates adequately so it would dramatically reduce the number of compilers and platforms that could be supported. »
« The standard C++ string class is not used, again because it is not available to all compilers, and it is not necessarily a very efficient implementation. »
# Remarques diverses
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Bélier 0.6 : Outil d'automatisation de connexions ssh complexes. Évalué à 7.
$ git co ssh://jbdenis.net:9999/beliergit: 'co' is not a git-command
$ git checkout ssh://jbdenis.net:9999/belier
fatal: Not a git repository
$ svn co ssh://jbdenis.net:9999/belier
svn: Schéma d'URL non reconnu pour 'ssh://jbdenis.net:9999/belier'
Bon, pas compris. Tiens, un fichier exécutable qui s'appelle bel, essayons ça :
$ ./belSALUT
help
??
^D
Euh, qu'est-ce qui s'est passé ? Il n'y a pas d'invite, il ne me dit pas ce qu'il fait, j'ai rien compris. En lisant, les sources je découvre que « bel » (bel... belier ?) prend des arguments !
$ ./bel --help
Usage: bel [options]
Options:
--version show program's version number and exit
-h, --help show this help message and exit
-e FICHIER, --entree=FICHIER
contient les ordres pour générer le ou les scripts
-s RÉPERTOIRE, --repertoire-sortie=RÉPERTOIRE
répertoire où entreposer les fichiers générés
-d DÉLAI, --delai=DÉLAI
en secondes pour exécuter une commande du script
$ ./bel --version
bel 0.1
Décidément, j'ai vraiment pas la bonne version :-)
Pourquoi le projet génère des scripts shell plutôt que des scripts Python ? Python est plus portable que shell (moins de conflits entre sh, bash, zsh, etc.) ;-)
Je cherchais la référence à Fusil dans le code source, mais je n'ai rien vu. Le site web parle de tests, je ne les vois pas non plus dans le tarball.
Bélier semble stocker les mots de passe en clair. C'est pas terrible. Si un pirate vole un fichier .sh, il connaît les nom des machines, les logins et mots de passe associés. Perso je bloque l'authentification par mot de passe et force l'authentification par certificat (fichiers ~/.ssh/id_rsa et ~/.ssh/id_rsa.pub). Ma clé SSH est protégée par une longue passphrase. Même si un pirate me vole la clé, il lui faudra la passphrase pour l'utiliser.
[^] # Re: La seule expérience Python de ma vie
Posté par Victor STINNER (site web personnel) . En réponse au journal Python, langage de l'année pour la seconde année consécutive. Évalué à 7.
Hum, quand je vois la batterie de tests lancés par les autotools pour tester si on a bien tout ce qu'il faut, je trouve Python beaucoup plus agréable. J'avais fait un peu de C++, et ce que j'en ai retenu : c'est qu'on ne peut pas supposer que la STL est complètement et correctement implémentée. Je me souviens de wxWindows (maintenat appelé wxWidgets) qui avait du mal à migrer à la STL (ex: utiliser std::string plutôt que leur classe maison) car ils visent une grande portabilité et la plupart des compilateurs n'étaient pas prêt. Résultat : chacun recode son std::string (ex: QString dans Qt) dans son coin... Et encore, j'ai pris l'exemple le plus trivial, la STL c'est un peu plus gros que juste les chaînes de caractères ;-)
Qui a dit que Python impose une bibliothèque standard ? Oui, elle est disponible à coup sûr, mais libre à toi de l'utiliser ou non ! Bien sûr, tu peux recoder ta propre bibliothèque standard à toi et réutiliser plein de bibliothèques non standards (ex: setuptools, twisted, PyQt, ...). Mais pour les tâches simples, on est très content d'avoir des bibliothèques fonctionnelles de base.
[^] # Re: Sécurité
Posté par Victor STINNER (site web personnel) . En réponse au journal Debian Lenny 5.0 is out !. Évalué à 4.
J'ai appris récemment qu'avahi permet de contacter une machine dans le réseau local selon sous nom sous la forme « nom.local ». Exemple : « ping lisa.local » va résoudre le nom « lisa » avec avahi. Ça évite de mettre en place un serveur DNS ou de modifier /etc/hosts sur chaque machine (j'utilisais la 2e solution, avec 3 machines c'est supportable).
[^] # Re: bonheur
Posté par Victor STINNER (site web personnel) . En réponse au journal Python, langage de l'année pour la seconde année consécutive. Évalué à 5.
Choose Python3 (qui n'a plus ces problèmes d'Unicode).
[^] # Re: Au top de la modernitude !
Posté par Victor STINNER (site web personnel) . En réponse au journal Debian Lenny 5.0 is out !. Évalué à 9.
J'ai un ami qui utilise KDE4 et il me répète régulièrement que c'est instable et incomplet. Je préfère que Debian continue d'embarquer KDE3. KDE 4.2 est tout frais, Debian n'a pas eu le temps de packager le bousin.
[^] # Re: Une dépèche dans les bac?
Posté par Victor STINNER (site web personnel) . En réponse au journal Debian Lenny 5.0 is out !. Évalué à 4.
Je ne vois aucune référence au nouvel installeur graphique. Les notes de sortie de Lenny parlent aussi de Xfce, LXDE, FHS, LSB, OpenJDK (Python, Perl mais pas Java ? pourtant c'est "un peu" utilisé comme langage :-)), Asterix, etc.
Il manque pas mal d'infos très intéressantes de :
http://www.debian.net/News/2009/20090214
Il serait bon de rappeler brièvement ce qu'est le projet Debian, parler des variantes (ex: Ubuntu), et indiquer les différents moyens de télécharger (installer?) Lenny.