Tu peux confirmer que c'est également embêtant pour l'enregistrement des hachages des mots de passe (génération de collision) ?
Attend : tu dis t’intéresser aux signatures etc, mais tu "pensais" seulement que MD5 est troué? Tu demandes vraiment une confirmation que c'est embêtant pour les pass?
Franchement, tu devrais commencer par la base, et naviguer sur le web pour "picorer" un peu de culture de sécurité, avant de t'attaquer à la signature de mail (sujet bien plus complexe que sécuriser un mot de passe). Même moi qui m’intéresse de très loin à la sécurité est clairement au courant que MD5 est troué depuis des lustres tellement c'est dit partout.
Auquel cas c'est également embêtant pour les systèmes actuels (services, apps - ex : enregistrement du MD5 du mot de passe en base de données pour faire l'authentification, si la base se fait récupérer par un attaquant, il peut générer des collisions).
impossible : aucun système "actuel" utilise MD5 pour de l'authentification.
C'est en effet intéressant si on se fait la police à tester le SHA256sum, l'avantage de HTTPS est que le MITM est plus facilement détecté (au prix de ressource CPU certes) sans étape intermédiaire.
Et vous, vous testez vos SHA256sum quand vous installez une distro? J'avoue : pas moi, trop la flemme (mais ça reste dans une VM et je ne suis pas une personne intéressante pour les MITM, et pour les serveurs je me repose sur les compétences de l'hébergeur pour vérifier qu'il ne se fait pas trouer)
Si tu l'es, tu devrais te renseigner sur L'attaque de l'homme du milieu.
sans HTTPS, tu n'as aucune garantie que l'ISO que tu télécharges est celle qui est sur le serveur (en plus de ne pas savoir si le serveur est légitime). Et ce n'est pas les SHA256sum qui va t'aider (il est au même endroit donc tout autant falsifiable).
Après, je sais que les gens s'en foutent un peu de télécharger tout et n'importe quoi en étant à poil (même le site d'Ubuntu ne supporte pas le HTTPS, le site de Debian ou de CentOS supportent HTTPS mais redirige vers un download HTTP, et après on après de sécurité meilleure sous Linux…), certes… (ouais, ok, pas "avoir plus peur", mais plutôt "avoir autant peur qu'avec les autres").
HTTPS Everywhere, sauf à la source pour installer une distro, cordonniers les plus mal chaussés tout ça ;-).
(qu'on se rassure : pour Windows, c'est pareil, HTTPS qui redirige vers HTTP)
Ca aurait été la dernière RHEL ou la dernière Ubuntu que le problème serait identique (site dont on ne connait rien), perso je ne vois pas l’intérêt de "Avec les problèmes récents" car même sans les problèmes récents c'est un journal "dangereux" dans le sens où il point sur un truc bizarre.
Après, si les mecs de la distro en viennent à dire que c'est l'ISO officielle, la on pourra prendre peur (et beaucoup : même pas de HTTPS sur ce lien…)
Des ISO officielles c'est sur le site officiel. La c'est un site perdu (il faut voir la gueule de la page principale de gwendallebihan.net…) qui n'a rien d'officiel.
Comment sais-tu que c'est l'ISO officielle et pas un site quelconque qui a fait ses ISOs?
Désolé, perso je ne vois aucun lien officiel.
A mon avis, vu ta demande, le mieux n'est pas de demander de l'aide au pif comme ça mais de faire appel à un professionnel (que tu peux chercher ici) que tu payeras pour la prestation de conseil sur comment faire une signature numérique du point de vue légal. La sécurité n'est pas un truc simple et demandable "comment on fait et je vais faire" à moins de vouloir être troué dans l'année.
Si tu parles de celui-la c'est écrit et non caché (la couverture ne donne pas de numéro de version, "Date de parution : août 2011").
Donc de quel pot aux roses parles-tu?
il n'y a rien de nouveau que les livres sur l'info (et pas que) sont assez vite dépassés et que leur date de parution est relativement importante, tout en sachant qu'un livre "générique" (sans numéro de version du "logiciel") peut quand même donner de bonnes bases et est donc potentiellement intéressant donc en vente des années après la date de parution sans que ce soit anormal.
J'avoue ne pas comprendre ta critique focalisée sur ENI qui ne semble pas t'avoir trompé, juste que tu attendais une version "100% compatible avec le dernier download que j'ai fait" (quelle serait la limite? 1 an? 1 version?) et non sur ton erreur de ne pas avoir regardé la date de parution.
Oui le script était fait pour être transposable, le problème est que certaines personnalités d'Owncloud (Jos) sont viscéralement contre laisser les distributions maintenir leur version (lis les échanges).
OK, j'ai sans doute lu trop en diagonale et je n'avais pas compris que le script était générique (je le comprenais très centré sur Debian/Ubuntu).
si tu veux du support long terme tu prends un "contrat d'entreprise", sinon tu es beta-testeur à vie.
faut bien gagner sa vie ma bonne dame :).
si c'est les mêmes personnes et les mêmes façons de voir les distros (en opposition même si un mec fait le taf en générique), le fait qu'ils annoncent des super trucs "en direction de la communauté" est bof pas crédible, on se retrouve alors avec de l'open source pour faire joli et pour te vendre une solution aux problèmes qu'on créé soit même à dessein.
La dépêche laissait espérer que le tempérament serait différent, ça refroidit.
Flatpak est un n-ième tentative, le problème est que rien n'a changé depuis l'échec des autres tentatives : pas d'accord entre les distros (hop un ubuntu snap!), pas d'engagement clair des distro à faire le nécessaire pour ne pas mettre des bâtons dans les roues.
Aucun problème technique, juste un problème humain, c'est le humains qu'on doit d'abord "fixer" ;-) avant de partir sur la technique.
de ce que je comprend d'un lien de ton premier lien, le soucis est que ce n'est pas générique, donc pas mettable upstream (j'ai mal compris? ça parle plus d'Ubuntu donc on ne parle peut-être pas de la même chose)
Je ne dis pas que ownCloud est parfait (de ce que je lis, ça ne semble pas être la cas), mais un "cas spécifique Debian" est tout autant un problème qu'un script upstream mal foutu : un script d'upgrade ne devrait être spécifique à une distro qu'à la marge (option de config?).
le script fait par Debian est-il transposable sur une Fedora par exemple? Si la réponse est "non", c'est un script tout aussi mauvais que l'upstream "catastrophe ambulante" (mais supporté).
La coopération, c'est dans les deux sens : il faut que celui qui propose le script fasse un script qui ne soit pas que pour lui mais pour l'ensemble des gens, sinon ce n'est pas très utilisable donc normal d'être refusé upstream.
ton lien indique justement que le problème n'est pas que chez ownCloud/nextCloud mais qu'il y a un gros problème de dispersion chez les distros (tiens, il n'y a pas que moi qui le dit?).
Donc contrairement à ce que ton commentaire sous-entend, le problème est bien plus général (comment les distributions peuvent faire pour coopérer avec l'upstream sans le surcharger à coup de truc spécifique par distribution; comment pouvoir mettre à jour une application à la dernière version du moment et pas à celle figée il y a 6 mois avec une faille de sécurité déjà corrigée depuis la version il y a 5 mois?) que nextCloud/owncloud. C'est particulièrement important pour les applis qui bougent très vite (rien de nouveau : le plus gros problème visible sur le sujet est par exemple Firefox et il me semble que les distributions abandonnent petit à petit l'idée de figer une version précise de Firefox pour des mois ou années, mais tout le monde n'a pas le poids de Firefox pour faire bouger les choses).
Qui sait, un jour les distributions Linux comprendront que pour avoir de la coopération avec l'upstream, il faut déjà qu'elles coopèrent ensemble pour ne pas surcharger l'upstream avec du travail non constructif.
avec des scripts d'upgrade qui ne cassent pas tout.
Reste à savoir si il est possible d'avoir un script commun à Debian/Ubuntu/CentOS/Fedora/Arch, et qui le fait (pourquoi ça serait à l'upstream de faire une tâche qu'ils se créent eux-mêmes alors que ça semble bien marcher avec ce que l'upstream fournit dans ses releases à lui?)
Bref, c'est un problème largement plus général que ownCloud/nextCloud, et ça ne se réglera pas en changeant de stratégie open source pour un logiciel particulier car ce n'est pas un problème sur un logiciel particulier, ta critique sur un logiciel particulier rate sa cible.
C'est bien pour ça qu'il y a une vingtaine d'années, des mecs se sont dit "hey, et si on faisait des distributions: on aurait des systèmes cohérents avec des applications installables facilement"… ET ILS L'ONT FAIT !!!!
Ben non, ils ne l'ont pas fait (c'est jamais assez à jour)
C'est pas assez à jour ? Passe à une autre distrib, recompile et repackage, mais non… fournir des containers n'est pas, de mon point de vue, une solution pérenne.
Ou prend un snap, c'est pareil que ce que tu dis, mais la complexité en moins (et même un peu plus de sécurité).
Ce que tu conseilles pour pallier à ce que tu trouves trop génial (c'est bizarre d'avoir un palliatif si c'est génial, passons) est pire en terme de temps et de sécurité, super…
Vous en avez pas marre de crier à l'enfer pour tout et n'importe quoi ?!
Euh… Je n'ai même plus temps de voir les commentaires et imaginer une réaction sur ce sujet, voila que tu me piques mes répliques.
tout se perd… Mais prépare-toi, les retours peuvent être violent (surtout vu que tu en as profité pour y mettre un peu de systemd).
Qu'est-ce qui les empêchait de maintenir une exigence de CLA pour le nouveau code qui va être écrit et qui va rentrer dans NextCloud ?
Xavier Combelle a répondu avant que tu poses la question. Tu pourrais lire l'ensemble du thread.
Faudrait un peu arrêter de jouer au cynique (…) C'est un peu saoulant.
Désolé que constater des vérité soit soulant.
Ici, le CLA est inutile, donc ce n'est pas un truc qu'ils ont décidé.
Après, il y a le reste (association etc)…
C'est tout aussi soulant que des gens en manipule d'autres, même si toi ça ne te dérange pas et que même ça te dérange qu'on le dise.
Le fait qu'ils ne fassent pas de proprio et qu'ils ne demandent pas de CLA est juste une obligation qu'ils ont, ce n'est pas un choix de leur part, c'est factuel (ça a été voulu au départ de ownCloud, tu ne peux pas non plus me dire que tu n'es pas au courant car j'embête souvent avec l'idée que le dual-licensing a ce problème d'inégalité des armes et d'avantage à celui qui peut faire le dual licensing)
Perso ce que je trouve cynique est cette façon de mettre en avant comme un choix de sa part un truc qu'on est forcé de faire, et pire dans le cynisme de traiter de soulant les gens qui le remarquent. Chacun son cynisme sans doute.
Après, comme dit, ça marche, des gens trouvent ça "bien" ce discours marketing ;-), donc ils ont bien raison de le faire.
On m'avais dit qu'une fois que Centos 7 arriverait, les gens partiraient en masse (donc en juillet 2014 ). Puis on a dit "tu verras quand Debian sortira" ( avril 2015 ). Et ensuite "quand ça toucheras Ubuntu" (octobre 2015). Puis "nan mais je voulais dire Ubuntu stable" (avril 2016).
Bref, pas besoin d'autre chose dans cet exemple, un coup de justice et c'est réglé.
(et c'est clair de chez clair vu qu'ils ont aussi été condamné à payer les frais de procédure).
(NdM: il faut juste fournir une adresse de courriel professionnelle).
Ca c'est la première étape. cliquez sur "télécharger" (ce qui est d'ailleurs faux car on ne télécharge rien, on est sensé le recevoir dans sa BAL) et il y a plein de champs à remplir.
Je comprend qu'il faut bien se financer et que c'est un moyen comme un autre de récupérer une base de contact, mais c'est quand même un peu lourd.
Après, SMILE le fait depuis un moment il me semble, c'est que ça doit être rentable ("si c'est gratuit, c'est que tu es le produit" :) )
Note : ils ont l'air de filtrer le nom de domaine, @yopmail.com (par exemple) semble ne pas être considéré comme pro ;-).
Sinon, comme on est sur un site qui fait attention aux licences, j'aurai apprécié connaitre la licence du livre (c'est libre?).
je ne pense pas que la nouvelle société avait le choix.
Oui, mais ce n'est pas sexy de dire qu'on le fait par non choix, du coup on dit qu'on le veut c'est plus vendeur.
Ha le marketing… Le pire est qu'il y en aura beaucoup qui penseront que nextCloud ils sont trop contre le proprio et que c'est volontaire de leur part de ne pas en faire.
Sans déconner, les migrants civilisés et diplômés sont bien plus nombreux que tu ne l'imagines. Vas faire un tour dans les labos de recherche
C'est d'ailleurs une grosse raison pour refuser que ces personnes viennent en France (et dans d'autres pays "développés") : après avoir pillé les ressources naturelles, nous français pillons les ressources humaines sans état d'âme (c'est rentable : le pays plus pauvre que nous nous paye la formation et nous on récupérè la force de travail prête à l'emploi).
Bref, ne pas oublier que nous français faisons quand même pas dans une nouvelle forme plus discrète de colonialisme quand on se permet de choisir les gens en fonction de leur niveau d'étude (ce qu'on fait aujourd'hui…)
tu ne souhaites pas me dire dans 3 ans jute si tu as fais ce que tu as dit que tu allais faire? OK, je note, donc c'est juste pour râler.
Je déteste la facilité avec laquelle tu mets des choses dans la bouche des gens ou comment tu abuses des propos des gens.
Désolé, mais dire de changer d'OS pour un truc de ce type, comme si c'était mieux ailleurs, c'est très lourd.
Franchement, il est impossible d'être à jour au niveau sécurité sans mettre à jour.
Pas bien difficile de se mette d'accord avec d'autres dont la machine plante si le problème n'est pas chaise-clavier pour avoir un OS à jour de sécurité sans rien modifier.
Sinon, si un MAJ de sécurité casse l'API, je me demande comment tu réagiras.
Donc :
je déteste la facilité avec laquelle tu mets des choses dans la bouche des gens ou comment tu abuses des propos des gens.
je déteste la facilité avec laquelle tu dis que tu vas quitter Linux pour des raisons ridicules.
je déteste la facilité avec laquelle tu dis que tu vas quitter Linux mais dont on sent que tu ne le feras pas.
Promis, tu arrêtes ce que je déteste, j'arrête ce que tu détestes (ça n'aura plus de raison d'être).
Bref, je te mets juste en face de tes contradictions et te défies juste de faire ce que tu dis que tu vas faire. Je la fais facile? Désolé mais ce n'est pas moi qui crache sur Linux pour des raisons ridicules.
"Demain, je" est d'un classique… Pour ne pas le faire. Je te fais juste remarquer la chose.
Si c'était à refaire aujourd'hui c'est en Go ou en Rust que l'on le développerait (pas parce qu'on aime plus Perl, mais parce que le typage statique aide bien), mais surtout pas en C.
Je vais faire mon vieux : "je te conseille x pour y", depuis que je fais de l'info, j'ai vu :
- la mode "PHP!"
- la mode "Java!"
- la mode "Python!" (et "PHP ça pue")
- la mode "Ruby!"
- la mode "Go!"
- maintenant la mode "Rust!"
Tandis que C/C++, ça a toujours été "ha ha, c'est nul comme truc" mais depuis que je fais de l'info, ça n'a certes pas été "hype" mais c'est toujours la.
Perso je conseille des trucs "qui ne sont pas que hype et qu'on pourra retrouver dans 10 ans" comme C/C++ et PHP, c'est pas "hype", même au contraire pas mal de monde trouve ça "has been" mais c'est la pour durer comme ça a déjà traversé le temps malgré toutes les attaques "mon langage préféré à la mode il est mieux na na na". Et puis ça a un gros avantage : je connais.
Je pose la question parce je fais partie d'une équipe qui développe professionnellement un serveur domotique en Perl depuis plus de 5 ans, et jamais on a atteint les limites du hardware, bien plus faible qu'un Raspberry Pi
Quelles sont les contraintes qui te font développer ton serveur domotique en Perl ?
[^] # Re: MD5 signature considered harmful
Posté par Zenitram (site web personnel) . En réponse au journal authentification et certification de contenu de courriel ?. Évalué à 3.
Attend : tu dis t’intéresser aux signatures etc, mais tu "pensais" seulement que MD5 est troué? Tu demandes vraiment une confirmation que c'est embêtant pour les pass?
Franchement, tu devrais commencer par la base, et naviguer sur le web pour "picorer" un peu de culture de sécurité, avant de t'attaquer à la signature de mail (sujet bien plus complexe que sécuriser un mot de passe). Même moi qui m’intéresse de très loin à la sécurité est clairement au courant que MD5 est troué depuis des lustres tellement c'est dit partout.
impossible : aucun système "actuel" utilise MD5 pour de l'authentification.
https://en.wikipedia.org/wiki/MD5#Security
Pour info, on a même enlevé SHA-1 de la liste des fonctions sûres.
[^] # Re: Mirror ?
Posté par Zenitram (site web personnel) . En réponse au journal Sortie de Linux Mint bêta. Évalué à 1.
C'est en effet intéressant si on se fait la police à tester le SHA256sum, l'avantage de HTTPS est que le MITM est plus facilement détecté (au prix de ressource CPU certes) sans étape intermédiaire.
Et vous, vous testez vos SHA256sum quand vous installez une distro? J'avoue : pas moi, trop la flemme (mais ça reste dans une VM et je ne suis pas une personne intéressante pour les MITM, et pour les serveurs je me repose sur les compétences de l'hébergeur pour vérifier qu'il ne se fait pas trouer)
[^] # Re: Mirror ?
Posté par Zenitram (site web personnel) . En réponse au journal Sortie de Linux Mint bêta. Évalué à 0. Dernière modification le 08 juin 2016 à 18:20.
???
tu es sérieux?
Si tu l'es, tu devrais te renseigner sur L'attaque de l'homme du milieu.
sans HTTPS, tu n'as aucune garantie que l'ISO que tu télécharges est celle qui est sur le serveur (en plus de ne pas savoir si le serveur est légitime). Et ce n'est pas les SHA256sum qui va t'aider (il est au même endroit donc tout autant falsifiable).
Après, je sais que les gens s'en foutent un peu de télécharger tout et n'importe quoi en étant à poil (même le site d'Ubuntu ne supporte pas le HTTPS, le site de Debian ou de CentOS supportent HTTPS mais redirige vers un download HTTP, et après on après de sécurité meilleure sous Linux…), certes… (ouais, ok, pas "avoir plus peur", mais plutôt "avoir autant peur qu'avec les autres").
HTTPS Everywhere, sauf à la source pour installer une distro, cordonniers les plus mal chaussés tout ça ;-).
(qu'on se rassure : pour Windows, c'est pareil, HTTPS qui redirige vers HTTP)
[^] # Re: Mirror ?
Posté par Zenitram (site web personnel) . En réponse au journal Sortie de Linux Mint bêta. Évalué à 0. Dernière modification le 08 juin 2016 à 17:49.
Ca aurait été la dernière RHEL ou la dernière Ubuntu que le problème serait identique (site dont on ne connait rien), perso je ne vois pas l’intérêt de "Avec les problèmes récents" car même sans les problèmes récents c'est un journal "dangereux" dans le sens où il point sur un truc bizarre.
Après, si les mecs de la distro en viennent à dire que c'est l'ISO officielle, la on pourra prendre peur (et beaucoup : même pas de HTTPS sur ce lien…)
[^] # Re: Mirror ?
Posté par Zenitram (site web personnel) . En réponse au journal Sortie de Linux Mint bêta. Évalué à 1.
Des ISO officielles c'est sur le site officiel. La c'est un site perdu (il faut voir la gueule de la page principale de gwendallebihan.net…) qui n'a rien d'officiel.
Comment sais-tu que c'est l'ISO officielle et pas un site quelconque qui a fait ses ISOs?
Désolé, perso je ne vois aucun lien officiel.
# Tentative :
Posté par Zenitram (site web personnel) . En réponse au journal authentification et certification de contenu de courriel ?. Évalué à 1.
Une signature numérique? Tu n'en parles jamais dans ton listing technique (qui s’intéresse au transport et pas au contenu)
A mon avis, vu ta demande, le mieux n'est pas de demander de l'aide au pif comme ça mais de faire appel à un professionnel (que tu peux chercher ici) que tu payeras pour la prestation de conseil sur comment faire une signature numérique du point de vue légal. La sécurité n'est pas un truc simple et demandable "comment on fait et je vais faire" à moins de vouloir être troué dans l'année.
Sinon journaux != forum.
# C'est écrit non?
Posté par Zenitram (site web personnel) . En réponse au journal Editions ENI nul. Évalué à 10. Dernière modification le 07 juin 2016 à 15:17.
Si tu parles de celui-la c'est écrit et non caché (la couverture ne donne pas de numéro de version, "Date de parution : août 2011").
Donc de quel pot aux roses parles-tu?
il n'y a rien de nouveau que les livres sur l'info (et pas que) sont assez vite dépassés et que leur date de parution est relativement importante, tout en sachant qu'un livre "générique" (sans numéro de version du "logiciel") peut quand même donner de bonnes bases et est donc potentiellement intéressant donc en vente des années après la date de parution sans que ce soit anormal.
J'avoue ne pas comprendre ta critique focalisée sur ENI qui ne semble pas t'avoir trompé, juste que tu attendais une version "100% compatible avec le dernier download que j'ai fait" (quelle serait la limite? 1 an? 1 version?) et non sur ton erreur de ne pas avoir regardé la date de parution.
[^] # Re: - pour les distributions
Posté par Zenitram (site web personnel) . En réponse à la dépêche Nextcloud, le fork d'ownCloud. Évalué à -4.
Je n'ai rien compris à tes liens.
un exemple de logiciel instable de cette manière?
PS : on commence la dispersion… Pour remplacer des scripts par distro, on va se taper des scripts par gestionnaire multi-distros, où est le gain?
[^] # Re: - pour les distributions
Posté par Zenitram (site web personnel) . En réponse à la dépêche Nextcloud, le fork d'ownCloud. Évalué à 1.
OK, j'ai sans doute lu trop en diagonale et je n'avais pas compris que le script était générique (je le comprenais très centré sur Debian/Ubuntu).
faut bien gagner sa vie ma bonne dame :).
si c'est les mêmes personnes et les mêmes façons de voir les distros (en opposition même si un mec fait le taf en générique), le fait qu'ils annoncent des super trucs "en direction de la communauté" est bof pas crédible, on se retrouve alors avec de l'open source pour faire joli et pour te vendre une solution aux problèmes qu'on créé soit même à dessein.
La dépêche laissait espérer que le tempérament serait différent, ça refroidit.
[^] # Re: - pour les distributions
Posté par Zenitram (site web personnel) . En réponse à la dépêche Nextcloud, le fork d'ownCloud. Évalué à 0.
Flatpak est un n-ième tentative, le problème est que rien n'a changé depuis l'échec des autres tentatives : pas d'accord entre les distros (hop un ubuntu snap!), pas d'engagement clair des distro à faire le nécessaire pour ne pas mettre des bâtons dans les roues.
Aucun problème technique, juste un problème humain, c'est le humains qu'on doit d'abord "fixer" ;-) avant de partir sur la technique.
[^] # Re: - pour les distributions
Posté par Zenitram (site web personnel) . En réponse à la dépêche Nextcloud, le fork d'ownCloud. Évalué à -7. Dernière modification le 07 juin 2016 à 14:42.
de ce que je comprend d'un lien de ton premier lien, le soucis est que ce n'est pas générique, donc pas mettable upstream (j'ai mal compris? ça parle plus d'Ubuntu donc on ne parle peut-être pas de la même chose)
Je ne dis pas que ownCloud est parfait (de ce que je lis, ça ne semble pas être la cas), mais un "cas spécifique Debian" est tout autant un problème qu'un script upstream mal foutu : un script d'upgrade ne devrait être spécifique à une distro qu'à la marge (option de config?).
le script fait par Debian est-il transposable sur une Fedora par exemple? Si la réponse est "non", c'est un script tout aussi mauvais que l'upstream "catastrophe ambulante" (mais supporté).
La coopération, c'est dans les deux sens : il faut que celui qui propose le script fasse un script qui ne soit pas que pour lui mais pour l'ensemble des gens, sinon ce n'est pas très utilisable donc normal d'être refusé upstream.
[^] # Re: - pour les distributions
Posté par Zenitram (site web personnel) . En réponse à la dépêche Nextcloud, le fork d'ownCloud. Évalué à 1. Dernière modification le 07 juin 2016 à 14:23.
ton lien indique justement que le problème n'est pas que chez ownCloud/nextCloud mais qu'il y a un gros problème de dispersion chez les distros (tiens, il n'y a pas que moi qui le dit?).
Donc contrairement à ce que ton commentaire sous-entend, le problème est bien plus général (comment les distributions peuvent faire pour coopérer avec l'upstream sans le surcharger à coup de truc spécifique par distribution; comment pouvoir mettre à jour une application à la dernière version du moment et pas à celle figée il y a 6 mois avec une faille de sécurité déjà corrigée depuis la version il y a 5 mois?) que nextCloud/owncloud. C'est particulièrement important pour les applis qui bougent très vite (rien de nouveau : le plus gros problème visible sur le sujet est par exemple Firefox et il me semble que les distributions abandonnent petit à petit l'idée de figer une version précise de Firefox pour des mois ou années, mais tout le monde n'a pas le poids de Firefox pour faire bouger les choses).
Qui sait, un jour les distributions Linux comprendront que pour avoir de la coopération avec l'upstream, il faut déjà qu'elles coopèrent ensemble pour ne pas surcharger l'upstream avec du travail non constructif.
Reste à savoir si il est possible d'avoir un script commun à Debian/Ubuntu/CentOS/Fedora/Arch, et qui le fait (pourquoi ça serait à l'upstream de faire une tâche qu'ils se créent eux-mêmes alors que ça semble bien marcher avec ce que l'upstream fournit dans ses releases à lui?)
Bref, c'est un problème largement plus général que ownCloud/nextCloud, et ça ne se réglera pas en changeant de stratégie open source pour un logiciel particulier car ce n'est pas un problème sur un logiciel particulier, ta critique sur un logiciel particulier rate sa cible.
[^] # Re: Bof !
Posté par Zenitram (site web personnel) . En réponse au journal Mon premier snap sur Xenial. Évalué à -1.
Ben non, ils ne l'ont pas fait (c'est jamais assez à jour)
Ou prend un snap, c'est pareil que ce que tu dis, mais la complexité en moins (et même un peu plus de sécurité).
Ce que tu conseilles pour pallier à ce que tu trouves trop génial (c'est bizarre d'avoir un palliatif si c'est génial, passons) est pire en terme de temps et de sécurité, super…
[^] # Re: Mise-à-jour de sécurité sous snap
Posté par Zenitram (site web personnel) . En réponse au journal Mon premier snap sur Xenial. Évalué à -3.
Euh… Je n'ai même plus temps de voir les commentaires et imaginer une réaction sur ce sujet, voila que tu me piques mes répliques.
tout se perd… Mais prépare-toi, les retours peuvent être violent (surtout vu que tu en as profité pour y mettre un peu de systemd).
[^] # Re: double licence et fin du CLA: pas le choix ?
Posté par Zenitram (site web personnel) . En réponse au journal NextCloud : le fork d'OwnCloud. Évalué à -9. Dernière modification le 05 juin 2016 à 18:09.
Xavier Combelle a répondu avant que tu poses la question. Tu pourrais lire l'ensemble du thread.
Désolé que constater des vérité soit soulant.
Ici, le CLA est inutile, donc ce n'est pas un truc qu'ils ont décidé.
Après, il y a le reste (association etc)…
C'est tout aussi soulant que des gens en manipule d'autres, même si toi ça ne te dérange pas et que même ça te dérange qu'on le dise.
Le fait qu'ils ne fassent pas de proprio et qu'ils ne demandent pas de CLA est juste une obligation qu'ils ont, ce n'est pas un choix de leur part, c'est factuel (ça a été voulu au départ de ownCloud, tu ne peux pas non plus me dire que tu n'es pas au courant car j'embête souvent avec l'idée que le dual-licensing a ce problème d'inégalité des armes et d'avantage à celui qui peut faire le dual licensing)
Perso ce que je trouve cynique est cette façon de mettre en avant comme un choix de sa part un truc qu'on est forcé de faire, et pire dans le cynisme de traiter de soulant les gens qui le remarquent. Chacun son cynisme sans doute.
Après, comme dit, ça marche, des gens trouvent ça "bien" ce discours marketing ;-), donc ils ont bien raison de le faire.
[^] # Re: Bug ferme chez tmux
Posté par Zenitram (site web personnel) . En réponse au journal Attention avec systemd, Tmux ne survit plus après la fermeture de la session.. Évalué à -5.
euh… non, rien, si tu y crois ça va être difficile de te montrer les faits tellement évidents et une des raisons pour laquelle systemd est demandé.
Mouais, j'attends toujours les forks avec des gens dessus, ça fait un moment que ça aurait dû arriver si les gens qui décrient systemd étaient objectifs.
ce post fait un très bon résumé sur la réalité des anti-systemd.
Je me permet d'en recopier un extrait :
On m'avais dit qu'une fois que Centos 7 arriverait, les gens partiraient en masse (donc en juillet 2014 ). Puis on a dit "tu verras quand Debian sortira" ( avril 2015 ). Et ensuite "quand ça toucheras Ubuntu" (octobre 2015). Puis "nan mais je voulais dire Ubuntu stable" (avril 2016).[^] # Re: Le lien de téléchargement n'est pas vraiment un lien de téléchargement.
Posté par Zenitram (site web personnel) . En réponse à la dépêche Sortie du livre blanc « Linux pour l'embarqué » édité par Smile. Évalué à 0.
Euh…
[^] # Re: FUD
Posté par Zenitram (site web personnel) . En réponse au journal La Suède abandonne les paiements en espèce — ne devrait-on pas s'en inquiéter?. Évalué à 0. Dernière modification le 05 juin 2016 à 13:21.
tu oublies de dire que c'était illégal et que Visa/Mastercard au minimum ont été obligé de faire leur taf même pour Wikileaks.
https://fr.wikipedia.org/wiki/Valitor
Bref, pas besoin d'autre chose dans cet exemple, un coup de justice et c'est réglé.
(et c'est clair de chez clair vu qu'ils ont aussi été condamné à payer les frais de procédure).
[^] # Re: Le lien de téléchargement n'est pas vraiment un lien de téléchargement.
Posté par Zenitram (site web personnel) . En réponse à la dépêche Sortie du livre blanc « Linux pour l'embarqué » édité par Smile. Évalué à 0.
Juste en dessous de "pays".
# Non
Posté par Zenitram (site web personnel) . En réponse à la dépêche Sortie du livre blanc « Linux pour l'embarqué » édité par Smile. Évalué à 4.
Ca c'est la première étape. cliquez sur "télécharger" (ce qui est d'ailleurs faux car on ne télécharge rien, on est sensé le recevoir dans sa BAL) et il y a plein de champs à remplir.
Je comprend qu'il faut bien se financer et que c'est un moyen comme un autre de récupérer une base de contact, mais c'est quand même un peu lourd.
Après, SMILE le fait depuis un moment il me semble, c'est que ça doit être rentable ("si c'est gratuit, c'est que tu es le produit" :) )
Note : ils ont l'air de filtrer le nom de domaine, @yopmail.com (par exemple) semble ne pas être considéré comme pro ;-).
Sinon, comme on est sur un site qui fait attention aux licences, j'aurai apprécié connaitre la licence du livre (c'est libre?).
[^] # Re: double licence et fin du CLA: pas le choix ?
Posté par Zenitram (site web personnel) . En réponse au journal NextCloud : le fork d'OwnCloud. Évalué à -3.
Oui, mais ce n'est pas sexy de dire qu'on le fait par non choix, du coup on dit qu'on le veut c'est plus vendeur.
Ha le marketing… Le pire est qu'il y en aura beaucoup qui penseront que nextCloud ils sont trop contre le proprio et que c'est volontaire de leur part de ne pas en faire.
[^] # Re: Merci à LinuxFR et à la communauté du Libre
Posté par Zenitram (site web personnel) . En réponse à la dépêche Comité de soutien pour Cellou Diallo contre son expulsion. Évalué à -3.
C'est d'ailleurs une grosse raison pour refuser que ces personnes viennent en France (et dans d'autres pays "développés") : après avoir pillé les ressources naturelles, nous français pillons les ressources humaines sans état d'âme (c'est rentable : le pays plus pauvre que nous nous paye la formation et nous on récupérè la force de travail prête à l'emploi).
Bref, ne pas oublier que nous français faisons quand même pas dans une nouvelle forme plus discrète de colonialisme quand on se permet de choisir les gens en fonction de leur niveau d'étude (ce qu'on fait aujourd'hui…)
[^] # Re: Bug ferme chez tmux
Posté par Zenitram (site web personnel) . En réponse au journal Attention avec systemd, Tmux ne survit plus après la fermeture de la session.. Évalué à -10.
tu ne souhaites pas me dire dans 3 ans jute si tu as fais ce que tu as dit que tu allais faire? OK, je note, donc c'est juste pour râler.
Désolé, mais dire de changer d'OS pour un truc de ce type, comme si c'était mieux ailleurs, c'est très lourd.
Pas bien difficile de se mette d'accord avec d'autres dont la machine plante si le problème n'est pas chaise-clavier pour avoir un OS à jour de sécurité sans rien modifier.
Sinon, si un MAJ de sécurité casse l'API, je me demande comment tu réagiras.
Donc :
je déteste la facilité avec laquelle tu dis que tu vas quitter Linux pour des raisons ridicules.
je déteste la facilité avec laquelle tu dis que tu vas quitter Linux mais dont on sent que tu ne le feras pas.
Promis, tu arrêtes ce que je déteste, j'arrête ce que tu détestes (ça n'aura plus de raison d'être).
Bref, je te mets juste en face de tes contradictions et te défies juste de faire ce que tu dis que tu vas faire. Je la fais facile? Désolé mais ce n'est pas moi qui crache sur Linux pour des raisons ridicules.
"Demain, je" est d'un classique… Pour ne pas le faire. Je te fais juste remarquer la chose.
[^] # Re: Bug ferme chez tmux
Posté par Zenitram (site web personnel) . En réponse au journal Attention avec systemd, Tmux ne survit plus après la fermeture de la session.. Évalué à -10.
J'ai trop regardé Homeland dernièrement, mauvais mot qui est arrivé.
schizophrène plutôt.
[^] # Re: Pourquoi en C ?
Posté par Zenitram (site web personnel) . En réponse au journal Ulfius: framework pour faire des API Web en C. Évalué à 2. Dernière modification le 05 juin 2016 à 10:20.
Je vais faire mon vieux : "je te conseille x pour y", depuis que je fais de l'info, j'ai vu :
- la mode "PHP!"
- la mode "Java!"
- la mode "Python!" (et "PHP ça pue")
- la mode "Ruby!"
- la mode "Go!"
- maintenant la mode "Rust!"
Tandis que C/C++, ça a toujours été "ha ha, c'est nul comme truc" mais depuis que je fais de l'info, ça n'a certes pas été "hype" mais c'est toujours la.
Perso je conseille des trucs "qui ne sont pas que hype et qu'on pourra retrouver dans 10 ans" comme C/C++ et PHP, c'est pas "hype", même au contraire pas mal de monde trouve ça "has been" mais c'est la pour durer comme ça a déjà traversé le temps malgré toutes les attaques "mon langage préféré à la mode il est mieux na na na". Et puis ça a un gros avantage : je connais.
Quelles sont les contraintes qui te font développer ton serveur domotique en Perl ?