Victor STINNER a écrit 1639 commentaires

En CMake, on n'écrit jamais de Python, on écrit dans un langage de script spécifique à CMake. Exemples :
http://haypo.hachoir.org/hasard/file/tip/CMakeLists.txt
http://haypo.hachoir.org/hasard/file/tip/lib/CMakeLists.txt

Je maitrise pas du tout CMake, alors si ça se trouve on peut écrire ces deux fichiers bien plus joliment :) J'ai testé CMake sous Ubuntu Gutsy, FreeBSD7 et Windows (MinGW).

C'est l'occasion de rappeler que scons c'est drôlement bien.

J'ai entendu l'inverse : « scons c'est vachement pas bien ». J'utilise les autotools pour les vieux projets et CMake pour les nouveaux. Je trouve CMake plutôt simple et assez foncitonnel (pas besoin de coder des bouts en shell...).

D'autres personnes pourraient donner leur avis sur scons ?

Les différents événements cités visent des publics différents :

- FOSDEM est avant tout animé par des développeurs pour des développeurs. N'espérez pas voir des bureaux 3D, ici c'est plutôt les backtraces qui sont considérées comme sexy. Toutes les conférences sont en anglais. C'est surtout une occasion de boire de la bière belge en mangeant des frites entre geeks dans la belle ville de Bruxelles !

- 25C3 : Je ne connais pas trop, mais ça semble être orienté sécurité (informatique, biométrie, etc.), liberté d'expression (cf. « Nothing to hide »), etc. Disons que ça vise les hackers au sens large. Toutes les conférences sont en anglais.

- JDLL : Je n'y étais jamais, mais à ce que j'ai compris, ça vise le grand public francophone.

En tout cas, merci de me rappeler qu'il faut proposer des conférences, car j'y pense toujours trop tard :-) J'ai proposé Fusil le fuzzer à FOSDEM pour la peine.

PHP est très souvent accompagné de MySQL. Or MySQL est mal configuré par défaut : tout est autorisé, même LOAD_FILE et INTO OUTFILE. De plus, échapper une chaîne d'octets (PHP ne gère pas Unicode) pour la passer à MySQL n'est pas toujours évidant car le charset du site web peut-être différent de celui de la base de données (il existe mysql_escape_string et mysql_real_escape_string ...) :
http://www.abelcheung.org/advisory/20071210-wordpress-charse(...)

Pour info, d'autres failles liées à Unicode :
http://www.haypocalc.com/blog/index.php/2008/01/26/124-faill(...)

Je pense que n'importe quelle application utilisant des fonctions haut niveau pour gérer l'accès à la base de données (MySQL ou autre), peut se protéger des injections SQL.

Euh... on parlait de PHP ? Ah mince.

Je pense que le « problème » de PHP est qu'il est trop facile à utiliser et que n'importe quel quidam sans aucune notion de sécurité peut écrire et publier son site web. La majorité des développeurs préfèrent réécrire leur CMS troué que d'utiliser un CMS testé et éprouvé.
http://blog.halon.org.uk/geek/debian/security/php_clippy.htm(...)

Au moins avec le C, on n'a pas ces problèmes.

Je n'ai jamais installé de bug tracker autre que Trac, mais j'en ai utilisé un paquet :
- Bugzilla : une horreur, des champs dans tous les sens, souvent optionnels, des listes à choix vraiment multiples qui changent selon ce qu'on choisit... semble par contre hautement personnalisable (est-ce réellement une qualité ?)
- Trac : titre, texte avec mise en forme (syntaxe wiki Trac), et quelques champs tous optionnels (en particulier la priorité : bug / demande de fonctionnalité / crash / ...)
- Sourceforge : semblable à celui de Trac, sans la mise en forme, mais affiche les champs optionnels avant le texte, ce qui embrouille plus qu'autre chose
- Roundup : formulaire simple et bien organisé, en un mot : efficace

Verdict utilisateur : Roundup > Trac > Sourceforge > Bugzilla.

C'est marrant, pourquoi avoir écrit le gestionnaire de paquet Entropy incompatible avec celui de Gentoo ? Pourquoi ne pas avoir utilisé apt, rpm, (... la liste est longue...) ou tout simplement avoir amélioré celui de Gentoo ?

(en plus, l'entropie n'a pas la côte en ce moment)

« initié récemment »

Mouais, enfin, c'est un vieux fantasme de développeur noyau. Les machines multi-processeurs ça existait avant l'Intel Core Duo :-)
http://lwn.net/Articles/102216/ (2004) : patch d'Ingo Molnar
http://lwn.net/Articles/86859/ (2004) : article expliquant la situation
http://lwn.net/Articles/281938/ (2008) : article récent sur le BKL

Ok que Linus est à la tête du projet, mais il n'est pas seul. Je pense par exemple à Ingo Molnar et Thomas Gleixner que j'admire beaucoup. Ils ont fait un travail énorme : sur le temps réel (ils ont travaillé sur le noyau "tickless" et les timers haute résolution), l'ordonnanceur de processus (Ingo a écrit le Completely Fair Scheduler), et tout plein de choses que j'ignore :-)
http://kerneltrap.org/Thomas_Gleixner
http://kerneltrap.org/Ingo_Molnar

De plus, alors que Linus insulte généreusement toute personne avec qui il n'est pas d'accord (pour justifier ses idées, super), Ingo et Thomas semblent beaucoup plus sociables. Ingo a par exemple réussi à faire entrer son scheduler (CFS) alors que Con Kolivas (auteur d'un autre ordonnanceur similaire à CFS) a envoyé tout le monde balader en claquant la porte. J'avais lu qu'Ingo a réussi à fairer entrer son CFS car il écoute les utilisateurs et prend en compte leurs remarques (rapports de bugs).

Une bibliothèque ça brûle très bien. Extrait de http://g.courtial.free.fr/alexandrie.htm :
« En 47 avant JC, une guerre de succession déchira Alexandrie, opposant les légions de César, l'allié de Cléopatre, aux troupes d' Achillas. Pour éviter que son ennemi ne s'en emparât, César fit mettre le feu à la flotte de Ptolémée. Un vent traître porta l'incendie à la ville elle même et jusqu'à la Bibliothèque. Et tout le savoir du monde fut réduit en cendres en l'espace de quelques heures. »

Connaître son histoire sert à ne pas refaire les même erreurs disait ma prof :-)

Cette dépêche est superbe, elle mériterait d'être publiée comme un journal !

Il a fallu sept millions et demi d'années à Pensées Profondes pour calculer la réponse. Maintenant on a la question ;-)

Ce qui est drôle, c'est que la dernière grosse faille DNS concernait déjà le générateur de nombres pseudo-aléatoires... Ouais, faut qu'il utilise ma bibliothèque Hasard :-D Je leur en parle dès que j'ai fini de la coder ;-)
http://haypo.hachoir.org/trac/wiki/hasard

Là j'ai rajouté une dépendance sur GMP, ça peut être gênant.

Le texte est très bien rédigé, il y a des liens pertinents, ça ne parle pas uniquement d'une fonction mais des divers développements Blender. Oui, c'est une dépêche deluxe. Quand on voit d'autres dépêches, comme sur les sextoys...

xterm est rapide à lancer, mais c'est tout. Il n'y a pas de barre de défilement : pratique pour savoir où on en est dans l'historique (SHIFT+page haut/bas permet toujours de relire l'historique). Il n'y pas d'onglet : pratique pour gagner de la place sur le bureau (gnome-terminal conserve le dossier courant quand on ouvre un onglet, malin et pratique). Le rendu des polices est moche (gnome-terminal et konsole c'est des polices TrueType avec anti-aliasing fin).

On peut *facilement* changer le thème de couleur, changer la taille de la police, le jeu de caractères, la méthode pour notifier les bips, changer la disposition du clavier, etc. On peut facilement configurer la taille de l'historique et en particulier choisir un historique illimité. On peut faire une recherche dans l'historique. Le copier/coller Gnome/KDE fonctionne (clic-droit : coller), différent du clic central.

Et enfin, le meilleur, on peut se créer des profils. C'est comme comparer fluxbox et KDE. Ok, fluxbox est rapide à se lancer, mais il n'y pas de navigateur web, client de messagerie, ... intégrés au bureau.

Konsole se lance en une seconde ici. La création d'un onglet est instantanée.

Justement, est-ce qu'il y a une sélection qualitative des oeuvres ? Parce qu'on peut vite être perdu parmis 1700 titres...

Il existe des logiciels tels que http://irate.sourceforge.net/ qui permettent d'écouter des chansons en streaming. Il me semble qu'Amarok gère aussi Last.fm, donc aussi la lecture de flux en streaming. Il faudrait regarder de ce côté là.

Il me semble que tu peux la trouver en téléchargement sur l'Internet, c'est elle-même qui l'a dit.

- est-ce qu'on peut merger des commits locaux avant de "pusher" les changements ?

Ah, ça je sais pas. Je suppose que oui. Selon un ami, cette extension (incluse de base) devrait faire l'affaire :
http://www.selenic.com/mercurial/wiki/index.cgi/TransplantEx(...)

est-ce qu'on a des dossiers .hg partout, comme svn, ou c'est propre comme git ? :)

À la racine, il y a un dossier ".hg" qui contient 99% des infos. Sinon, il existe .hgignore qui contient les listes des fichiers à ignorer pour la commande "hg stat" (la syntaxe est sex : on peut mélanger les motifs "glob" et motifs "regex"). Enfin, j'ai un fichier ".hgtags" qui contient les tags. Je ne sais pas pourquoi ce fichier n'est pas dans .hg !? RTFM disait Mao.

Oh mais ils sont malins ! Ils vendent les plans et demandent qu'on le monte soit même. Donc si ça marche pas, c'est parce qu'on n'a pas respecté le plan, qu'on est nul, ou autre, mais pas parce que l'invention miracle... n'est que du flan.

Si c'était vraiment l'invention du siècle, pourquoi ça n'aurait pas fait plus de bruit ?

Et le moteur à air comprimé ? Bizzarement, ça semble pas aussi bien qu'ils le disent. Sûrement que TOTAL et les chinois du FBI complotent pour étouffer l'affaire.

Allez hop, réflexe Wikipédia :
http://fr.wikipedia.org/wiki/Moteur_Pantone
http://fr.wikipedia.org/wiki/Moteur_%C3%A0_air_comprim%C3%A9

Ah voilà, j'ai retrouvé l'article que je cherchais :
http://fr.wikipedia.org/wiki/Affaire_des_avions_renifleurs

« Le premier contrat représente 400 millions de francs de l’époque. Un deuxième contrat est signé en 1977, puis un troisième de 600 millions de francs en 1978. Au total, 1 milliard de francs sont engagés. »

Si le projet n'a jamais abouti, c'est sûrement qu'il n'est pas viable. Exemples : coût de réalisation prohibitif, énergie pas si gratuite que ça, problème sur le long terme, ou je sais pas quoi. Alors bien sûr, on dit dire qu'un organisme obscure (si possible gouvernemental) a comploté pour saboter le projet. LES VILAINS ! Et puis, on va utiliser des mots mystérieux : anti-gravité, vortex, etc. Ca me fait penser à Day of Tentacles, super jeu, mais sûrement pas à un projet sérieux.

http://xkcd.com/442/

Bas Zoetekouw a écrit un patch qui remplace CryptoPP::AutoSeededRandomPool par CryptoPP::AutoSeededX917RNG<CryptoPP::DES_EDE3>. Je n'ai pas bien compris quel était le problème : le bug parle de urandom, or urandom est non bloquant sous Linux !? Je ne comprend pas non plus les conséquences de ce changement (baisse de la sécurité ou non ?).
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=350396

J'avais développé mon outil pour tracer les dépendances (inclusions de modules) d'un programme :
http://haypo.hachoir.org/trac/wiki/graphdep

C'était pour le fun et pour tester le bibliothèque GvGen d'un ami. D'ailleurs, GvGen simplifie beaucoup l'utilisation de GraphViz ! Sinon, pour revenir aux graphes d'appel, il existe aussi ncc :
http://students.ceid.upatras.gr/~sxanth/ncc/

misc m'a convaincu de tester Mercurial. En fait, la semaine où j'ai lancé mon projet Hasard, j'errais entre le train et l'hôtel, deux lieux généralement dépourvus d'Internet (gratuit). En gros, il suffit de remplacer "svn" par "hg" dans la ligne de commande. Pour publier son travail (et faire une sauvegarde), il faut faire "hg push" de tant à autre. Mercurial marche très bien avec Apache et SSH. Quand on veut récupérer les modifications des autres, "hg pull" ne suffit pas. Il faut aussi faire "hg update" et "hg merge", chose assez déroutante quand on vient de Subversion.

Quelques remarques personnelles sur svn VS hg :
- je commite très souvent car c'est instantané (c'est un peu comme passer de cvs diff à svn diff !) et ça coûte pas cher. Je dois faire 4 à 10x plus de commits, qui sont donc plus petits, plus facile à relire, et c'est aussi plus facile à annuler.
- on peut supprimer ses derniers commits avec "hg strip", là où subversion est totalement figé : interdiction absolue de supprimer du code (même si on a commité /etc/shadow ou des photos perso)
- mis à part hg push et hg pull, toutes les opérations sont instantanées, ça fait limite peur au début :-)
- hg push envoie N commits d'un coup alors que svn ci n'envoie qu'un commit
- hg revert conserve une copie du fichier modifié (c'est optionnel : hg revert --no-backup)
- hg ci quitte si le changelog est vide (c'est très positif :-))
- j'ai merdé : j'ai mis plusieurs dizaines de mégaoctets de fichiers de test dans mon dépôt par erreur. Du coup, le dépôt pèse 40 Mo alors que les sources font juste 40 Ko (en virant l'historique avec "rm -rf .hg*"). Je pense qu'avec l'expérience, je ne ferai plus cette erreur (ex: "hg strip" pour virer des commits).

« L'appel de Shuttleworth en faveur d'une synchronisation reflète une forme d'incapacité à reconnaître la valeur et la profondeur de la diversité dans la communauté du logiciel libre. »