Tu peux retrouver ce que tu as installé avec « history|apt-get install » ou « dpkg -l|grep 'lib.*-dev' » puis supprimer la pollution (tu devrais pouvoir supprimer tous les -dev sans risque). C'est aussi ça l'intérêt de Debian : installation simple, mais aussi désinstallation simplissime !
Au passage, pour ceux qui ne connaissez pas : « apt-get build-dep awesome ». C'est super utile pour recompiler un paquet Debian, ou même pour compiler une version plus récente à partir d'un tarball.
En bref : MP3, Ogg/Vorbis, AAC et WMA gérés à merveille, mais en plus ça gère des formats moins populaires tels que FLAC, Speex, MOD, MIDI, etc. C'est quoi cette histoire de format NES 8 bits par contre ? C'est pour réécouter le musique de Tetris ?
Hum, j'ai 2 Go de mémoire. Un boot en cinq secondes voudrait dire que le disque dur lit à une vitesse de 400 Mo/sec. Et encore, ça suppose que Linux met 0 seconde pour lancer le programme qui va initialiser puis lire l'image mémoire depuis le disque dur...
Suspend-to-ram est quand même plus pratique. Avec les nouveaux types de mémoire (MRAM), ça pourrait même être aussi économique en énergie (càd : consommation nulle ;-)).
on trouvera bien un moyen pour que par exemple quand on lance une appli ayant besoin du reseau (au hasard Firefox) on puisse le détecter et automagiquement le script reseau se lance... une sorte de HAL à l'envers (-;
À l'époque des abonnements Internet payé au temps connecté (les vieux RTC avec la vitesse était comptée en bauds), l'ouverture d'une page web (sous Windows) affichait la fenêtre pour se connecter à votre FAI. Donc ça a déjà existé ce genre de chose. En plus, c'est fastoche à détecter (à « hooker »).
Justement, on peut maintenant choisir le « game mode » (mode de jeu), c'est juste le fichier qui décrit le nombre de munitions. Tu peux donc te créer tes propres options pour tes parties entre amis. Si tu penses que ça devrait être le mode par défaut, envoie ce fichier aux développeurs qu'ils appliquent les changements.
Sur http://wiki.laptop.org/go/G1G1_v2_update on peut lire « The laptop's operating system will be Linux-based (it will not dual-boot Windows and Linux, contrary to some reports). ».
C'est de la parano là. Si le DNS de Wanadoo avait été en rade une semaine après les élections, on aurait dit « raah, c'est la de merde Wanadoo », mais si Internet déconne juste avant les élections, on va pester contre un complot :-)
« on habite dans un pays dont les responsables sont assez bêtes pour croire qu'on musèle le net en filtrant les DNS locaux le jour d'une élection, pour faire plaisir à l'industrie des ayant-droits ou (...) »
En tant qu'utilisateur, je hais les captchas. Je connais deux moyens pour contrer le spam : utiliser un formulaire HTML personnalité que les robots ne connaissent pas (ils vont pas recoder leur outil juste pour TON site) ou alors filtrer le contenu (système de pondération utilisant un ensemble des règles). J'ai implémenté la 2e solution en Python : http://haypo.hachoir.org/trac/wiki/antispam
Tu passes le message avec les entêtes à mon outil, il te dit spam ou pas spam. Il y a pas mal de messages légitimes détectés comme spam (au pif, entre 5% et 10%), mais sinon ça marche bien. Contacte moi si ça t'intéresse.
Il n'existe pas de fuzzer pour Fusil, mais c'est une bonne idée. Fusil est une bibliothèque Python qui est utilisée par différents fuzzers. Pour fuzzer Fusil, il faudrait... hum... générer des fuzzers aléatoires, et voir comment Fusil réagit ? Pour l'instant, je me contente d'exécuter les fuzzers et corriger les erreurs (erreur de Fusil, pas de la cible genre Firefox ;-)) quand j'en rencontre...
Je ne l'attend pas autant que Duke Nukem Forever ou Hurd, mais c'est une excellente nouvelle (pour la communauté Python).
À noter aussi, une faille de sécurité a été publiée la veille de la version 1.0 : faille de type cross-site request forgery que j'ai pas trop bien compris (une histoire de conservation des données HTTP POST). http://www.djangoproject.com/weblog/2008/sep/02/security/
Je suppose que la version 1.0 finale ne contient pas cette faille.
Hum, j'ai du mal à définir ce qu'est exactement le fuzzing. Un raccourci maladroit serait de dire qu'il sert à trouver des vulnérabilités dans vos programmes. Le fuzzing sert avant tout à rechercher des bugs, mais pour les trouver, il doit les déclencher. Il est donc vrai que « générer des bugs » est incorrect.
Je maitrise pas du tout CMake, alors si ça se trouve on peut écrire ces deux fichiers bien plus joliment :) J'ai testé CMake sous Ubuntu Gutsy, FreeBSD7 et Windows (MinGW).
C'est l'occasion de rappeler que scons c'est drôlement bien.
J'ai entendu l'inverse : « scons c'est vachement pas bien ». J'utilise les autotools pour les vieux projets et CMake pour les nouveaux. Je trouve CMake plutôt simple et assez foncitonnel (pas besoin de coder des bouts en shell...).
D'autres personnes pourraient donner leur avis sur scons ?
Les différents événements cités visent des publics différents :
- FOSDEM est avant tout animé par des développeurs pour des développeurs. N'espérez pas voir des bureaux 3D, ici c'est plutôt les backtraces qui sont considérées comme sexy. Toutes les conférences sont en anglais. C'est surtout une occasion de boire de la bière belge en mangeant des frites entre geeks dans la belle ville de Bruxelles !
- 25C3 : Je ne connais pas trop, mais ça semble être orienté sécurité (informatique, biométrie, etc.), liberté d'expression (cf. « Nothing to hide »), etc. Disons que ça vise les hackers au sens large. Toutes les conférences sont en anglais.
- JDLL : Je n'y étais jamais, mais à ce que j'ai compris, ça vise le grand public francophone.
En tout cas, merci de me rappeler qu'il faut proposer des conférences, car j'y pense toujours trop tard :-) J'ai proposé Fusil le fuzzer à FOSDEM pour la peine.
PHP est très souvent accompagné de MySQL. Or MySQL est mal configuré par défaut : tout est autorisé, même LOAD_FILE et INTO OUTFILE. De plus, échapper une chaîne d'octets (PHP ne gère pas Unicode) pour la passer à MySQL n'est pas toujours évidant car le charset du site web peut-être différent de celui de la base de données (il existe mysql_escape_string et mysql_real_escape_string ...) : http://www.abelcheung.org/advisory/20071210-wordpress-charse(...)
Je pense que n'importe quelle application utilisant des fonctions haut niveau pour gérer l'accès à la base de données (MySQL ou autre), peut se protéger des injections SQL.
Euh... on parlait de PHP ? Ah mince.
Je pense que le « problème » de PHP est qu'il est trop facile à utiliser et que n'importe quel quidam sans aucune notion de sécurité peut écrire et publier son site web. La majorité des développeurs préfèrent réécrire leur CMS troué que d'utiliser un CMS testé et éprouvé. http://blog.halon.org.uk/geek/debian/security/php_clippy.htm(...)
Je n'ai jamais installé de bug tracker autre que Trac, mais j'en ai utilisé un paquet :
- Bugzilla : une horreur, des champs dans tous les sens, souvent optionnels, des listes à choix vraiment multiples qui changent selon ce qu'on choisit... semble par contre hautement personnalisable (est-ce réellement une qualité ?)
- Trac : titre, texte avec mise en forme (syntaxe wiki Trac), et quelques champs tous optionnels (en particulier la priorité : bug / demande de fonctionnalité / crash / ...)
- Sourceforge : semblable à celui de Trac, sans la mise en forme, mais affiche les champs optionnels avant le texte, ce qui embrouille plus qu'autre chose
- Roundup : formulaire simple et bien organisé, en un mot : efficace
C'est marrant, pourquoi avoir écrit le gestionnaire de paquet Entropy incompatible avec celui de Gentoo ? Pourquoi ne pas avoir utilisé apt, rpm, (... la liste est longue...) ou tout simplement avoir amélioré celui de Gentoo ?
(en plus, l'entropie n'a pas la côte en ce moment)
Ok que Linus est à la tête du projet, mais il n'est pas seul. Je pense par exemple à Ingo Molnar et Thomas Gleixner que j'admire beaucoup. Ils ont fait un travail énorme : sur le temps réel (ils ont travaillé sur le noyau "tickless" et les timers haute résolution), l'ordonnanceur de processus (Ingo a écrit le Completely Fair Scheduler), et tout plein de choses que j'ignore :-) http://kerneltrap.org/Thomas_Gleixner http://kerneltrap.org/Ingo_Molnar
De plus, alors que Linus insulte généreusement toute personne avec qui il n'est pas d'accord (pour justifier ses idées, super), Ingo et Thomas semblent beaucoup plus sociables. Ingo a par exemple réussi à faire entrer son scheduler (CFS) alors que Con Kolivas (auteur d'un autre ordonnanceur similaire à CFS) a envoyé tout le monde balader en claquant la porte. J'avais lu qu'Ingo a réussi à fairer entrer son CFS car il écoute les utilisateurs et prend en compte leurs remarques (rapports de bugs).
[^] # Re: Retrollons un coups sur le système de dépôt
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Ekiga 3.00 disponible !. Évalué à 5.
Au passage, pour ceux qui ne connaissez pas : « apt-get build-dep awesome ». C'est super utile pour recompiler un paquet Debian, ou même pour compiler une version plus récente à partir d'un tarball.
# Formats pris en compte
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Sortie de Rockbox 3.0. Évalué à 5.
En bref : MP3, Ogg/Vorbis, AAC et WMA gérés à merveille, mais en plus ça gère des formats moins populaires tels que FLAC, Speex, MOD, MIDI, etc. C'est quoi cette histoire de format NES 8 bits par contre ? C'est pour réécouter le musique de Tetris ?
[^] # Re: suspend to disk
Posté par Victor STINNER (site web personnel) . En réponse au journal Booter en 5 secondes !. Évalué à 4.
Suspend-to-ram est quand même plus pratique. Avec les nouveaux types de mémoire (MRAM), ça pourrait même être aussi économique en énergie (càd : consommation nulle ;-)).
[^] # Re: Excellent !
Posté par Victor STINNER (site web personnel) . En réponse au journal Booter en 5 secondes !. Évalué à 3.
À l'époque des abonnements Internet payé au temps connecté (les vieux RTC avec la vitesse était comptée en bauds), l'ouverture d'une page web (sous Windows) affichait la fenêtre pour se connecter à votre FAI. Donc ça a déjà existé ce genre de chose. En plus, c'est fastoche à détecter (à « hooker »).
[^] # Re: armement
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Wormux 0.8.1 : le troll version bazooka. Évalué à 4.
[^] # Re: armement
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Wormux 0.8.1 : le troll version bazooka. Évalué à 4.
[^] # Re: Linuw ou Windows
Posté par Victor STINNER (site web personnel) . En réponse au journal 500 portables XO (projets OLPC) distribués sur l'île de Niué. Évalué à 3.
[^] # Re: Insécurité ?
Posté par Victor STINNER (site web personnel) . En réponse au journal OVH: "Mais on vous répète qu'un serveur loué ne vous appartient pas !". Évalué à 6.
[^] # Re: Insécurité ?
Posté par Victor STINNER (site web personnel) . En réponse au journal OVH: "Mais on vous répète qu'un serveur loué ne vous appartient pas !". Évalué à 5.
De quoi parles-tu ? Ça me dit rien cette affaire.
[^] # Re: et aussi dans archlinux
Posté par Victor STINNER (site web personnel) . En réponse au journal Sortie de Fusil le fuzzer en version 1.0beta3. Évalué à 2.
# Antispam
Posté par Victor STINNER (site web personnel) . En réponse au journal Gallery 2 sur etch : captcha cracké, que faire ?. Évalué à 3.
http://haypo.hachoir.org/trac/wiki/antispam
Tu passes le message avec les entêtes à mon outil, il te dit spam ou pas spam. Il y a pas mal de messages légitimes détectés comme spam (au pif, entre 5% et 10%), mais sinon ça marche bien. Contacte moi si ça t'intéresse.
[^] # Re: J'aurais bien signé la pétition
Posté par Victor STINNER (site web personnel) . En réponse au journal Pétition voyage-sncf. Évalué à 4.
# Blogs des « core developers »
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Inscription à la journée utilisateur du Netfilter Workshop. Évalué à 5.
http://vger.kernel.org/~davem/cgi-bin/blog.cgi/index.html
http://people.netfilter.org/kaber/weblog/
[^] # Re: Suicide
Posté par Victor STINNER (site web personnel) . En réponse au journal Sortie de Fusil le fuzzer en version 1.0beta3. Évalué à 2.
# Ca alors !
Posté par Victor STINNER (site web personnel) . En réponse au journal Django 1.0. Évalué à 1.
À noter aussi, une faille de sécurité a été publiée la veille de la version 1.0 : faille de type cross-site request forgery que j'ai pas trop bien compris (une histoire de conservation des données HTTP POST).
http://www.djangoproject.com/weblog/2008/sep/02/security/
Je suppose que la version 1.0 finale ne contient pas cette faille.
[^] # Re: Un outil pour générer des bugs ?
Posté par Victor STINNER (site web personnel) . En réponse au journal Sortie de Fusil le fuzzer en version 1.0beta3. Évalué à 2.
[^] # Re: Je vais tester
Posté par Victor STINNER (site web personnel) . En réponse au journal Sortie de Fusil le fuzzer en version 1.0beta3. Évalué à 8.
[^] # Re: Perdu !
Posté par Victor STINNER (site web personnel) . En réponse au journal Un troll en moins. Évalué à 10.
[^] # Re: scons pas bien
Posté par Victor STINNER (site web personnel) . En réponse au journal scons 1.0. Évalué à 2.
http://haypo.hachoir.org/hasard/file/tip/CMakeLists.txt
http://haypo.hachoir.org/hasard/file/tip/lib/CMakeLists.txt
Je maitrise pas du tout CMake, alors si ça se trouve on peut écrire ces deux fichiers bien plus joliment :) J'ai testé CMake sous Ubuntu Gutsy, FreeBSD7 et Windows (MinGW).
# scons pas bien
Posté par Victor STINNER (site web personnel) . En réponse au journal scons 1.0. Évalué à 4.
J'ai entendu l'inverse : « scons c'est vachement pas bien ». J'utilise les autotools pour les vieux projets et CMake pour les nouveaux. Je trouve CMake plutôt simple et assez foncitonnel (pas besoin de coder des bouts en shell...).
D'autres personnes pourraient donner leur avis sur scons ?
# Public visé
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Appels à communications : JDLL, 25C3, FOSDEM. Évalué à 4.
- FOSDEM est avant tout animé par des développeurs pour des développeurs. N'espérez pas voir des bureaux 3D, ici c'est plutôt les backtraces qui sont considérées comme sexy. Toutes les conférences sont en anglais. C'est surtout une occasion de boire de la bière belge en mangeant des frites entre geeks dans la belle ville de Bruxelles !
- 25C3 : Je ne connais pas trop, mais ça semble être orienté sécurité (informatique, biométrie, etc.), liberté d'expression (cf. « Nothing to hide »), etc. Disons que ça vise les hackers au sens large. Toutes les conférences sont en anglais.
- JDLL : Je n'y étais jamais, mais à ce que j'ai compris, ça vise le grand public francophone.
En tout cas, merci de me rappeler qu'il faut proposer des conférences, car j'y pense toujours trop tard :-) J'ai proposé Fusil le fuzzer à FOSDEM pour la peine.
[^] # Re: Erf
Posté par Victor STINNER (site web personnel) . En réponse au journal Faille de sécurité critique dans Joomla 1.5. Évalué à 2.
http://www.abelcheung.org/advisory/20071210-wordpress-charse(...)
Pour info, d'autres failles liées à Unicode :
http://www.haypocalc.com/blog/index.php/2008/01/26/124-faill(...)
Je pense que n'importe quelle application utilisant des fonctions haut niveau pour gérer l'accès à la base de données (MySQL ou autre), peut se protéger des injections SQL.
Euh... on parlait de PHP ? Ah mince.
Je pense que le « problème » de PHP est qu'il est trop facile à utiliser et que n'importe quel quidam sans aucune notion de sécurité peut écrire et publier son site web. La majorité des développeurs préfèrent réécrire leur CMS troué que d'utiliser un CMS testé et éprouvé.
http://blog.halon.org.uk/geek/debian/security/php_clippy.htm(...)
Au moins avec le C, on n'a pas ces problèmes.
[^] # Re: Roundup et Trac
Posté par Victor STINNER (site web personnel) . En réponse au journal Quel bug tracker utiliser ?. Évalué à 2.
- Bugzilla : une horreur, des champs dans tous les sens, souvent optionnels, des listes à choix vraiment multiples qui changent selon ce qu'on choisit... semble par contre hautement personnalisable (est-ce réellement une qualité ?)
- Trac : titre, texte avec mise en forme (syntaxe wiki Trac), et quelques champs tous optionnels (en particulier la priorité : bug / demande de fonctionnalité / crash / ...)
- Sourceforge : semblable à celui de Trac, sans la mise en forme, mais affiche les champs optionnels avant le texte, ce qui embrouille plus qu'autre chose
- Roundup : formulaire simple et bien organisé, en un mot : efficace
Verdict utilisateur : Roundup > Trac > Sourceforge > Bugzilla.
# Syndrôme NIH
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Test de Sabayon Linux 3.5. Évalué à 1.
(en plus, l'entropie n'a pas la côte en ce moment)
[^] # Re: Re:
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche La version 2.0 de DragonFlyBSD est disponible. Évalué à 7.
Mouais, enfin, c'est un vieux fantasme de développeur noyau. Les machines multi-processeurs ça existait avant l'Intel Core Duo :-)
http://lwn.net/Articles/102216/ (2004) : patch d'Ingo Molnar
http://lwn.net/Articles/86859/ (2004) : article expliquant la situation
http://lwn.net/Articles/281938/ (2008) : article récent sur le BKL
Ok que Linus est à la tête du projet, mais il n'est pas seul. Je pense par exemple à Ingo Molnar et Thomas Gleixner que j'admire beaucoup. Ils ont fait un travail énorme : sur le temps réel (ils ont travaillé sur le noyau "tickless" et les timers haute résolution), l'ordonnanceur de processus (Ingo a écrit le Completely Fair Scheduler), et tout plein de choses que j'ignore :-)
http://kerneltrap.org/Thomas_Gleixner
http://kerneltrap.org/Ingo_Molnar
De plus, alors que Linus insulte généreusement toute personne avec qui il n'est pas d'accord (pour justifier ses idées, super), Ingo et Thomas semblent beaucoup plus sociables. Ingo a par exemple réussi à faire entrer son scheduler (CFS) alors que Con Kolivas (auteur d'un autre ordonnanceur similaire à CFS) a envoyé tout le monde balader en claquant la porte. J'avais lu qu'Ingo a réussi à fairer entrer son CFS car il écoute les utilisateurs et prend en compte leurs remarques (rapports de bugs).