Victor STINNER a écrit 1639 commentaires

Bon, y'a plus qu'à optimiser pythran pour qu'il fasse tourner Django plus vite que CPython, voir que PyPy ;-)

Je maintiens que c'est suffisant pour duper un utilisateur distrait (qui vérifie le début et la fin, alors que la fin c'est l'id). En tout cas ça suffit je pense pour éduquer les utilisateurs.

4096R/7C485DC1: E6…C1
4096R/7C485DC1: E9…C1

Mouais, faut vraiment lire que le première caractère ou bien être très distrait :-) Maintenant s'il n'y a que la fin qui est affichée, ça peut très bien fonctionner.

Sur #python-dev, on m'a parlé de cette conférence à EuroPython 2012 :
https://ep2012.europython.eu/conference/talks/nuitka-the-python-compiler

Et hop, un autre compilateur Python => C++, mais qui gère les classes et tout le bazar.

Je suis abonné à Free depuis plusieurs années. Avant j'avais une option IPv6 (activée), mais depuis mon dernier déménagement, je ne trouve plus l'option IPv6. J'ai un abonnement de type "Freebox Only NDI". Est-ce normal de ne pas avoir l'option ?

J'ai une Freebox v5, je me suis dit que c'est peut-être à cause de ça, sauf que je ne vois pas non plus comment demander à migrer vers une Freebox v6.

Ok, il s'agit donc d'un soucis de documentation : "salt" n'est pas mentionné dans
https://docs.djangoproject.com/en/dev/topics/auth/#auth-password-storage

On dirait que les mots de passe Django n'ont pas de sel. Or c'est une protection critique pour un site web où le risque de fuite est important. Ne pas utiliser de sel est une erreur courante, mais pourtant connue depuis de nombreuses années.

Extract d'une page OWASP: "Credentials MUST be stored after being one-way hashed and salted using acceptable hashing algorithms".

https://www.owasp.org/index.php/Guide_to_Authentication#Architectural_Goals

Passer de SHA1 à PBKDF2 me semble moins utile qu'ajouter du sel. (Les deux émaliorations n'étant pas exclusives.)

Projet similaire qui pourrait vous intéressé, je n'ai pas testé.

Python Data Analysis Library — pandas: Python Data Analysis Library
http://pandas.pydata.org/

Depuis que j'ai écrit mon article fin 2009, ça a pas mal bougé avec le gros travail d'Alan Cox sur le pilote gma500.
https://linuxfr.org/news/intel-ne-maintient-plus-le-pilote-linux-poulsbo-depuis-un-an-et

Ce pilote évoque petit à petit au fil des versions du noyau Linux. Le pilote quitte d'ailleurs le dossier "staging" pour entrer dans le noyau officiel dans la version 3.3 (en cours de développement).
The GMA500 graphics driver for Intel's US15W and some Hyper V drivers have matured in the staging area and were moved to the subsystems responsible for these kind of drivers.
http://www.h-online.com/open/features/Kernel-Log-Linux-3-3-goes-into-testing-1418516.html

Il y a quelques mois était publiée la version 5.3.7 de PHP, sans s'assurer que certains bugs critiques, comme celui de la fonction crypt(), avaient été corrigés.

Euh non, il n'y avait pas de bug. La fonction a été modifié suite à un avertissement d'un outil d'analyse statique, modification faite par l'auteur du langage et censé améliorer la sécurité. Plus d'info sur cette vulnérabilité :
https://plus.google.com/111631720833482085895/posts/G3pKmqn4VFZ

Au sujet de la faille introduite par un correctif de l'attaque par déni de service de la table de hachage (PHP 5.3.9), j'ai également écrit sur un bref article :
https://plus.google.com/111631720833482085895/posts/dJ7RyRSj31f

Ce n'est pas Stefan Esser qui a trouvé la faille 20 jours après PHP 5.3.9, mais masugata qui a rapporté le bug 1 jour après PHP 5.3.9. Par contre, sûrement que quand Stefan rapporte un bug, il fait plus de bruit et donc les développeurs sont plus pressés de corriger le bug.

---

Contribuant à Python, je suis étonné des méthodes de travail des développeurs PHP. Ils n'écrivent pas ou peu de test, et à l'époque de PHP 5.3.7, il y avait 200 tests qui ne passaient pas, et pourtant ils ont publié une nouvelle version. Pour le correction pour le DoS (hash), je doute qu'un test ait été écrit vu que le correctif ne corrigeait pas la faille (dumoins, pas tous les cas). Pour le correctif du correctif, je ne vois pas non plus de test de non-régression. Là il y a 82 tests qui ne passent pas sur PHP 5.3, 86 tests sur PHP 5.4, et 104 sur HEAD. C'est beaucoup mieux !

À côté de ça, ça plusieurs semaines qu'un débat enflammé a lieu sur la liste de diffusion et le bug tracker Python pour choisir le meilleur correctif pour le même bug (DoS sur la table de hash). Je me dis que ce débat n'est pas si inutile : relire un patch à plusieurs permet d'avoir un meilleur code, même si la moindre modification prend plus de temps.

Python est blindé niveau tests et gare à celui qui pête un des 70 buildbots ! Pour Python 3.3, la majorité des buildbots sont verts, mis à part bugs connus et rapportés, pour les autres versions, buildbot est plus instable.

Ma femme travaille dans une crèche. Elle m'a dit que les enfants qui ont des couches lavables ont plus de problèmes aux fesses, plus d'irritations. Vu qu'elle voit 50 bébés différents et que c'est son métier, je lui fais confiance.

je voulais à une époque mettre à jour la documentation

Tu veux dire que la documentation n'est pas complète ou désuette ? Bien sûr que c'est un bon sujet pour le sprint.

J'aurais d'ailleurs tendance à le croire pour l'hoax sur l'inde tant les chiffres avancées paraissent terrifiants et dépourvus de sources.

L'article "Suicide collectif de 1500 fermiers indiens ruinés à cause des OGM" ne cite pas clairement ses sources, mais on peut les retrouver. L'article se termine par "Source: les mots ont un sens" (article qui date d'avril 2009) et contient une vidéo qui est un extrait de l'émission "L'effet Papillon" de Canal+. La vidéo semble avoir été mise en ligne par "pourunmondedurable.blogspot.com".
http://www.lesmotsontunsens.com/inde-suicide-collectif-1-500-paysans-ogm-coton-bt-monsanto-4131
http://pourunmondedurable.blogspot.com/

Le titre de l'article lesmotsontunsens.com a été changé hier (sûrement à cause de la rediffusion via Wikistrike) :

Mise à jour 07/12/2011 : "suicide collectif" a été modifié dans le titre par "suicides massifs"

Cet article ne cite pas explicitement ses sources, juste "Selon les ONG".

Voir aussi un autre article plus récent du site "les mots ont un sens" :
http://www.lesmotsontunsens.com/inde-coton-bt-ogm-resistance-maladie-7281

Historique de 2003 à 2011 :
http://www.haypocalc.com/blog/index.php/2011/12/05/244-fsf-france-met-en-ligne-code-source-edenwall

Extrait du communiqué de presse de FSF France :

Cela concerne l'ensemble de la suite logicielle NuFirewall distribuée sous licence GPL, à l'exception de la brique propriétaire du client Windows qui n'est donc pas disponible sur le site.

Espérons que le repreneur d'EdenWall, Netasq, va libérer le code de l'agent Windows.

Le code de l'agent Windows est clairement propriétaire. C'était une manière pour INL/EdenWall de garder le monopole sur le logiciel qu'elle éditait (son fer de lance qui la démarquait de la concurrence), le parefeu NuFW.

Il existe 3 agents libres pour Linux, FreeBSD et Mac OS X : agent en mode texte, agent graphique (C++ et Qt, le "QNU", je n'ai pas vérifié s'il est disponible sur ufwi.org) et agent "transparent" (plugin PAM lancé en arrière plan).

Le protocole réseau de NuFW est public, le plus difficile est de trouver des informations sur la table des connexions sous Windows (peu voir non documenté). L'agent Windows utilise notamment un pilote Windows pour récupérer ces informations. Si un ancien client d'EdenWall souhaite faire évoluer l'agent (ou en écrire une nouvelle implémentation), l'agent 64 bits ne supportant pas le VPN par exemple (ce qui commence à poser problème aujourd'hui), il lui suffit d'utiliser la rétro ingénierie.

Bien que ça ne soit pas facile à faire dans une société avec un grand parc existant, la solution évidente à ce problème est de passer les postes sous Linux (ou FreeBSD). La migration pouvant être progressive (règles différentes pour le parc Windows et pour le parc Linux, en utilisant des règles non authentifiés pour Windows par exemple).

Un projet d'agent Windows alternatif utilisant Active Directory pour "identifier" l'origine des connexions avait été évoqué pendant un temps (sécurité plus faible mais meilleure qu'un parefeu non authentifiant), mais le projet ne s'est jamais concrétisé. Je ne connais pas assez Active Directory pour savoir quelles informations il fournit.

Enfin, il existe un autre type d'authentification (faible) : un agent implémenté en Java cette fois-ci, l'applet Java, qui répond simplement "Hello" chaque fois qu'on l'interroge. Cet agent utilise un tunnel chiffré pour son lien avec nuauth (comme les autres agents) et exige une authentification initiale (identifiant et mot de passe de l'utilisateur), mais est incapable de certifier qu'une nouvelle connexion a été ouverte par le poste client sur lequel il tourne.

L'applet Java ne semble pas non être disponible sur ufwi.org. Si une personne en possède une copie, ou mieux, une copie des sources, je pense que la FSF serait intéressée :-)

La version Qt de l'agent NuFW aurait du s'appeller QNU mais ça a été refusé par le responsable marketing.

Oups, je croyais que c'était un benchmark réalisé par les auteurs d'Open64 (ou AMD). En fait non, c'est un site qui est -je crois- indépendant.

Dommage qu'il n'y est pas ICC dans le comparatif.

Euh, c'est peut-être volontaire car j'ai entendu qu'ICC est juste le compilateur C le plus rapide qui existe actuellement (mais c'est un compilateur proprio).

"pkg install header-math" par exemple

Y'a aussi une astuce toute bête qui m'a fait gagner beaucoup de temps : vim fichier +ligne ouvre un fichier en se positionnant directement à la ligne spécifiée.

Dans la dernière dépêche il était noté :

Et par ailleurs, l'IPv6 pourrait arriver à terme.

Qu'en est-il aujourd'hui ? Le datacenter où est le serveur ne gère pas IPv6 ?

J'ai également jeté un coup d'oeil rapide. Bah... je ne vois pas où est le secret industriel qui a motivé Free à violer la licence GPL alors qu'ils en étaient pleinement conscient.

J'ai vu quelques patchs pour permettre la cross-compilation, d'autres pour ajouter des pilotes variés au noyau, et divers petits détails (genre afficher le nom d'hôte complet). Au niveau des trucs spécifique, j'ai vu quelques morceaux qui concernent 6to4rd (tunnel IPv6 dans IPv4 à la mode Free), mais il me semble que ce protocole est public et bien documenté. En tout cas, je n'ai pas vu de truc révolutionnaire, mais comme j'ai jeté un coup d'oeil rapide, je suis peut-être passé à côté ?

De toute manière, je pense que le plus important (niveau valeur ajoutée) sont les logiciels métiers développés en interne.

Comme indiqué dans un autre commentaire, les utilisateurs n'ont pas idée du temps que prend un développement. Je vois par exemple une demande "Montrer les photos géolocalisées sur une carte" pour 5€ (logiciel Shotwell). Bon. Disons qu'un développeur gagne 1500€ net/mois (environ 24 k€ brut / an, c'est plutôt mal payé). Disons qu'en plus il bosse 40h/semaine le pauvre, ça donne environ 9,38€ de l'heure. Bah pour 5€, il peut bosser environ 30 minutes.

Peut-être qu'il y a des développeurs capables d'entrer dans un projet de la taille de Shotwell en 10 minutes, coder la fonction en 10 minutes et trouver un fond de carte les 10 minutes restantes. Perso, je met plutôt 1 jour à 1 semaine pour entrer dans un projet, et pour la fonctionnalité, je pense qu'il faut bien 1 à 2 semaines de développement (estimation certifiée pifomètre). Pour le fond de carte : je suppose qu'il en faut plusieurs. Je doute qu'une planisphère convienne à un français par exemple (toutes les photos feraient un énorme tas). J'estime qu'il faut au strict minimum 10 jours de travail, et par expérience, je multiple arbitrairement par deux : donc 20 jours. 20 jours, ça donne un salaire => 1500€.

5€ ça fait donc 0,3% du coût que j'ai estimé. Je pense qu'il est vital que des développeurs indiquent leur estimation de la charge de travail (en "jours-homme" par exemple). Quitte à indiquer plusieurs estimations, ou calculer une moyenne des estimations. Il faudrait peut-être redécouper une fonction en plusieurs étapes, et peut-être permettre de financer chaque étape.

Quand je vois "Reconnaissance faciale dans le gestionnaire de connexion" pour 0€ ça me fait doucement rigoler. Je ne vois pas l'intérêt de faire une liste des rêves des utilisateurs. Vous pouvez voter autant que vous voulez, ça ne motivera pas un développeur à s'y mettre (en tout cas, perso je n'en tiens pas compte).

Bien sûr, le site permet à plusieurs personnes de financer une demande de fonction, mais sans indicateur, ça laisse penser au "client" qu'il aura sa fonction pour 5€. J'attend qu'il y a une demande à 100€ pour considérer sérieusement ce site.

Les développeurs de PyPy (surtout Armin Rigo) sont motivés pour utiliser de la mémoire transactionnelle :

http://morepypy.blogspot.com/2011/08/we-need-software-transactional-memory.html

http://morepypy.blogspot.com/2011/06/global-interpreter-lock-or-how-to-kill.html

http://mail.python.org/pipermail/python-dev/2011-August/113188.html

http://mail.python.org/pipermail/pypy-dev/2011-August/008153.html

Si tu prends l'exemple de la dépêche, il faut modifier quatre pointeurs atomiquement. Or la majorité des instructions modifient un seul mot mémoire à la fois.

// Insère atomiquenent un nœud dans une liste doublement liée
 atomic {
     newNode→prev = node;
     newNode→next = node→next;
     node→next→prev = newNode;
     node→next = newNode;
 }

L'agent EdenWall est protégé par WinLicense. C'est un logiciel de protection propriétaire anti-ingénierie inverse qui semble assez poussé au point qu'il soit utilisé par certains malwares. Du coup, il faut expliquer à l'éditeur d'anti-virus qu'un binaire protégé WinLicense n'est pas forcément un malware...

Ah, les joies du logiciel propriétaire...