Victor STINNER a écrit 1632 commentaires

Tu peux retrouver ce que tu as installé avec « history|apt-get install » ou « dpkg -l|grep 'lib.*-dev' » puis supprimer la pollution (tu devrais pouvoir supprimer tous les -dev sans risque). C'est aussi ça l'intérêt de Debian : installation simple, mais aussi désinstallation simplissime !

Au passage, pour ceux qui ne connaissez pas : « apt-get build-dep awesome ». C'est super utile pour recompiler un paquet Debian, ou même pour compiler une version plus récente à partir d'un tarball.

http://www.rockbox.org/twiki/bin/view/Main/SoundCodecs

En bref : MP3, Ogg/Vorbis, AAC et WMA gérés à merveille, mais en plus ça gère des formats moins populaires tels que FLAC, Speex, MOD, MIDI, etc. C'est quoi cette histoire de format NES 8 bits par contre ? C'est pour réécouter le musique de Tetris ?

Hum, j'ai 2 Go de mémoire. Un boot en cinq secondes voudrait dire que le disque dur lit à une vitesse de 400 Mo/sec. Et encore, ça suppose que Linux met 0 seconde pour lancer le programme qui va initialiser puis lire l'image mémoire depuis le disque dur...

Suspend-to-ram est quand même plus pratique. Avec les nouveaux types de mémoire (MRAM), ça pourrait même être aussi économique en énergie (càd : consommation nulle ;-)).

on trouvera bien un moyen pour que par exemple quand on lance une appli ayant besoin du reseau (au hasard Firefox) on puisse le détecter et automagiquement le script reseau se lance... une sorte de HAL à l'envers (-;

À l'époque des abonnements Internet payé au temps connecté (les vieux RTC avec la vitesse était comptée en bauds), l'ouverture d'une page web (sous Windows) affichait la fenêtre pour se connecter à votre FAI. Donc ça a déjà existé ce genre de chose. En plus, c'est fastoche à détecter (à « hooker »).

Il me semble qu'avant (v0.8) on pouvait déjà, mais il fallait spécifier le "game mode" en ligne de commande (moins pratique donc).

Justement, on peut maintenant choisir le « game mode » (mode de jeu), c'est juste le fichier qui décrit le nombre de munitions. Tu peux donc te créer tes propres options pour tes parties entre amis. Si tu penses que ça devrait être le mode par défaut, envoie ce fichier aux développeurs qu'ils appliquent les changements.

Sur http://wiki.laptop.org/go/G1G1_v2_update on peut lire « The laptop's operating system will be Linux-based (it will not dual-boot Windows and Linux, contrary to some reports). ».

C'est de la parano là. Si le DNS de Wanadoo avait été en rade une semaine après les élections, on aurait dit « raah, c'est la de merde Wanadoo », mais si Internet déconne juste avant les élections, on va pester contre un complot :-)

« on habite dans un pays dont les responsables sont assez bêtes pour croire qu'on musèle le net en filtrant les DNS locaux le jour d'une élection, pour faire plaisir à l'industrie des ayant-droits ou (...) »

De quoi parles-tu ? Ça me dit rien cette affaire.

Ah chouette, je ne savais pas. Je rajoute une référence sur le site web. Par contre, c'est python-ptrace, il n'y a pas de paquet archlinux pour Fusil.

En tant qu'utilisateur, je hais les captchas. Je connais deux moyens pour contrer le spam : utiliser un formulaire HTML personnalité que les robots ne connaissent pas (ils vont pas recoder leur outil juste pour TON site) ou alors filtrer le contenu (système de pondération utilisant un ensemble des règles). J'ai implémenté la 2e solution en Python :
http://haypo.hachoir.org/trac/wiki/antispam

Tu passes le message avec les entêtes à mon outil, il te dit spam ou pas spam. Il y a pas mal de messages légitimes détectés comme spam (au pif, entre 5% et 10%), mais sinon ça marche bien. Contacte moi si ça t'intéresse.

Idem, le texte de la pétition laisse à désirer...

Si le développement de Netfilter vous intéresse, je vous conseille les blogs de David S. Miller (parle par exemple des queues d'envoi multiple pour les cartes réseaux) et de Patrick McHardy (nftables, successeur d'iptables) :
http://vger.kernel.org/~davem/cgi-bin/blog.cgi/index.html
http://people.netfilter.org/kaber/weblog/

Il n'existe pas de fuzzer pour Fusil, mais c'est une bonne idée. Fusil est une bibliothèque Python qui est utilisée par différents fuzzers. Pour fuzzer Fusil, il faudrait... hum... générer des fuzzers aléatoires, et voir comment Fusil réagit ? Pour l'instant, je me contente d'exécuter les fuzzers et corriger les erreurs (erreur de Fusil, pas de la cible genre Firefox ;-)) quand j'en rencontre...

Je ne l'attend pas autant que Duke Nukem Forever ou Hurd, mais c'est une excellente nouvelle (pour la communauté Python).

À noter aussi, une faille de sécurité a été publiée la veille de la version 1.0 : faille de type cross-site request forgery que j'ai pas trop bien compris (une histoire de conservation des données HTTP POST).
http://www.djangoproject.com/weblog/2008/sep/02/security/

Je suppose que la version 1.0 finale ne contient pas cette faille.

Hum, j'ai du mal à définir ce qu'est exactement le fuzzing. Un raccourci maladroit serait de dire qu'il sert à trouver des vulnérabilités dans vos programmes. Le fuzzing sert avant tout à rechercher des bugs, mais pour les trouver, il doit les déclencher. Il est donc vrai que « générer des bugs » est incorrect.

Oh, drôle de hasard ! Il y a un dossier « fuzzing » dans le MISC ce mois (n°39) avec justement un article dédié à Fusil :-)

The story is about Duke Nukem 3D for Xbox Live Arcade, NOT Duke Nukem Forever.

En CMake, on n'écrit jamais de Python, on écrit dans un langage de script spécifique à CMake. Exemples :
http://haypo.hachoir.org/hasard/file/tip/CMakeLists.txt
http://haypo.hachoir.org/hasard/file/tip/lib/CMakeLists.txt

Je maitrise pas du tout CMake, alors si ça se trouve on peut écrire ces deux fichiers bien plus joliment :) J'ai testé CMake sous Ubuntu Gutsy, FreeBSD7 et Windows (MinGW).

C'est l'occasion de rappeler que scons c'est drôlement bien.

J'ai entendu l'inverse : « scons c'est vachement pas bien ». J'utilise les autotools pour les vieux projets et CMake pour les nouveaux. Je trouve CMake plutôt simple et assez foncitonnel (pas besoin de coder des bouts en shell...).

D'autres personnes pourraient donner leur avis sur scons ?

Les différents événements cités visent des publics différents :

- FOSDEM est avant tout animé par des développeurs pour des développeurs. N'espérez pas voir des bureaux 3D, ici c'est plutôt les backtraces qui sont considérées comme sexy. Toutes les conférences sont en anglais. C'est surtout une occasion de boire de la bière belge en mangeant des frites entre geeks dans la belle ville de Bruxelles !

- 25C3 : Je ne connais pas trop, mais ça semble être orienté sécurité (informatique, biométrie, etc.), liberté d'expression (cf. « Nothing to hide »), etc. Disons que ça vise les hackers au sens large. Toutes les conférences sont en anglais.

- JDLL : Je n'y étais jamais, mais à ce que j'ai compris, ça vise le grand public francophone.

En tout cas, merci de me rappeler qu'il faut proposer des conférences, car j'y pense toujours trop tard :-) J'ai proposé Fusil le fuzzer à FOSDEM pour la peine.

PHP est très souvent accompagné de MySQL. Or MySQL est mal configuré par défaut : tout est autorisé, même LOAD_FILE et INTO OUTFILE. De plus, échapper une chaîne d'octets (PHP ne gère pas Unicode) pour la passer à MySQL n'est pas toujours évidant car le charset du site web peut-être différent de celui de la base de données (il existe mysql_escape_string et mysql_real_escape_string ...) :
http://www.abelcheung.org/advisory/20071210-wordpress-charse(...)

Pour info, d'autres failles liées à Unicode :
http://www.haypocalc.com/blog/index.php/2008/01/26/124-faill(...)

Je pense que n'importe quelle application utilisant des fonctions haut niveau pour gérer l'accès à la base de données (MySQL ou autre), peut se protéger des injections SQL.

Euh... on parlait de PHP ? Ah mince.

Je pense que le « problème » de PHP est qu'il est trop facile à utiliser et que n'importe quel quidam sans aucune notion de sécurité peut écrire et publier son site web. La majorité des développeurs préfèrent réécrire leur CMS troué que d'utiliser un CMS testé et éprouvé.
http://blog.halon.org.uk/geek/debian/security/php_clippy.htm(...)

Au moins avec le C, on n'a pas ces problèmes.

Je n'ai jamais installé de bug tracker autre que Trac, mais j'en ai utilisé un paquet :
- Bugzilla : une horreur, des champs dans tous les sens, souvent optionnels, des listes à choix vraiment multiples qui changent selon ce qu'on choisit... semble par contre hautement personnalisable (est-ce réellement une qualité ?)
- Trac : titre, texte avec mise en forme (syntaxe wiki Trac), et quelques champs tous optionnels (en particulier la priorité : bug / demande de fonctionnalité / crash / ...)
- Sourceforge : semblable à celui de Trac, sans la mise en forme, mais affiche les champs optionnels avant le texte, ce qui embrouille plus qu'autre chose
- Roundup : formulaire simple et bien organisé, en un mot : efficace

Verdict utilisateur : Roundup > Trac > Sourceforge > Bugzilla.

C'est marrant, pourquoi avoir écrit le gestionnaire de paquet Entropy incompatible avec celui de Gentoo ? Pourquoi ne pas avoir utilisé apt, rpm, (... la liste est longue...) ou tout simplement avoir amélioré celui de Gentoo ?

(en plus, l'entropie n'a pas la côte en ce moment)

« initié récemment »

Mouais, enfin, c'est un vieux fantasme de développeur noyau. Les machines multi-processeurs ça existait avant l'Intel Core Duo :-)
http://lwn.net/Articles/102216/ (2004) : patch d'Ingo Molnar
http://lwn.net/Articles/86859/ (2004) : article expliquant la situation
http://lwn.net/Articles/281938/ (2008) : article récent sur le BKL

Ok que Linus est à la tête du projet, mais il n'est pas seul. Je pense par exemple à Ingo Molnar et Thomas Gleixner que j'admire beaucoup. Ils ont fait un travail énorme : sur le temps réel (ils ont travaillé sur le noyau "tickless" et les timers haute résolution), l'ordonnanceur de processus (Ingo a écrit le Completely Fair Scheduler), et tout plein de choses que j'ignore :-)
http://kerneltrap.org/Thomas_Gleixner
http://kerneltrap.org/Ingo_Molnar

De plus, alors que Linus insulte généreusement toute personne avec qui il n'est pas d'accord (pour justifier ses idées, super), Ingo et Thomas semblent beaucoup plus sociables. Ingo a par exemple réussi à faire entrer son scheduler (CFS) alors que Con Kolivas (auteur d'un autre ordonnanceur similaire à CFS) a envoyé tout le monde balader en claquant la porte. J'avais lu qu'Ingo a réussi à fairer entrer son CFS car il écoute les utilisateurs et prend en compte leurs remarques (rapports de bugs).