Le paquet de Jessie, c'est un vrai paquet ? Par vrai paquet, qui a de vrais dépendances avec les paquets débian, et qui installe le tout dans les répertoires standards ? (je n'ai pas de jessie sous la main pour vérifier)
Bah, il suffit d'ouvrir le paquet avec un bon logiciel (qui regarde le paquet, sans l'installer) pour voir où ça s'installe ;-).
bon, allez pour la curiosité :
j'ai vu qu'il foutait tout en vrac dans un répertoire /opt
199 objets dans gitlab-ce_7.10.1~omnibus.2-1_amd64.deb\data.tar.\opt\gitlab\embedded\bin\
(pg_xxx, git-xxx, redis-xxx, bunzip etc… ah ouais, quand même)
basculer que du côté payant mais libre, ou il faut basculer du côté payant et non libre?
Payer est une chose, avoir un binaire sans source et sans droit de modification en est une autre.
(moi qui croyais qu'on aimait le libre ici… faut informer surtout si c'est libre ou pas, car ça peut être payant et libre comme ça peut être payant et non libre)
aux fonctions "privilégiées" (accès au matériel, sms, etc…)
donc, on a le droit d'installer qu'une "app web", l'équivalent des droit d'un site web sur iPhone mais en local.
quelle liberté!
Faut arrêter de faire croire qu'on peut installer des applis "self-published" sans passer par le Marketplace de FFOS, c'est de la théorie, en pratique dès que tu veux faire un truc "normal" (accéder au matériel, SMS, est si anormal???) bam passe par le store.
F-Droid est le genre de dépot intégriste qui balance des "Cette application promeut des extensions privatrices" et des "Cette application épie et rapporte votre activité" au moindre petit truc anonyme pas méchant (la, c'est affiché ça pour Firefox, trop fort), donc non il ne faut pas soutenir F-Droid qui exclut plutôt que d'inclure.
Pour le moment, pas d'offre alternative qui soit correcte (qui a des chances d'être utilisé par du monde, qui ne balance pas n'importe quel texte dès qu'on ne rentre pas dans ce qu'ils veulent etc…)
Ils ne cachent pas que la version Open Source est leur plaquette publicitaire mais si tu veux toutes les fonctionnalités : passe à la caisse et en non libre.
C'est du semi-libre.
Il y a un contournement possible ?
Acheter la version entreprise ;-).
Ben oui, c'est plus ou moins proprio… Plus dans l'esprit proprio avec une version "light" et une version "entreprise".
Ca manque d'un équivalent de GitHub vraiment dans l'esprit libre, je croyais GitLab dans cet esprit mais en fait non :(.
Les admins ne veulent pas d'argent mais des aides au développement en échange
Pas d'argent? OK, donc ils peuvent de leurs sous embaucher une personne "aides au développement en échange". Facile, pas besoin de négocier la libéralisation contre ça.
Ben oui, une aide au développement, ce n'est que de l'argent qu'on ne sort pas directement, alors pas la peine d'essayer de faire croire que ce n'est pas une question d'argent : quand on échange "libéralisation contre aide au développement", c'est qu'on veut dépenser moins.
Si ce n'est pas une question (plus ou moins directe) d'argent, on libère sans conditions, pas la peine de (se) mentir, et ce n'est pas "mal" que de vouloir négocier la libéralisation contre de l'argent plus ou moins direct.
Sinon, plutôt que de dire "aides au développement", dit de combien (en argent ou en heures, c'est équivalent) il faut, car sinon je corrige une faute de grammaire dans un commentaire quelque part, et j'ai aidé, il faut donc libérer.
Ne pas dire combien (en argent ou en temps), c'est parler dans le vide, pour le moment on a juste un "on y pense" mais bon, Microsoft aussi peut y penser, la partie intéressante est "ok, tu as quoi à filer et tu demandes quoi en échange, des faits".
Bref, déjà il faut être clair sur ce dont on parle, parce que la ça mélange tout (un OS, un contrat en plus si tu veux le Google store).
L'aspect pernicieux c'est que Google collecte "pour te rendre service" tous tes appels.
Si tu proposes le même service pour le même prix (ou plus cher si on pense que l'anti-Google est vendable, beaucoup pour ne pas aimer Google mais peu pour dépenser 1€ pour ça), les utilisateurs seront plus à même de changer. Le problème est le manque d'offre de ceux qui se plaignent du tout Google. Il n'y a plus qu'à ;-).
(par exemple, OpenStreetMap commence à être plus ou moins utilisable pour remplacer Google Map)
on n'a pas encore traité de la partie technique mais on va le faire
Prédiction ou IP over Time?
Parce que ne pas avoir fait la partie technique et avoir quand même un site fonctionnel, c'est pas mal.
Le site est la (sur le serveur au moins), un Git push avec un petit message "licence WTFPL et aucun support" et les gens se démerdent. Rien à voir avec la technique (à moins que vous ayez des failles et que vous préfériez commencer en sécurité par l'obscurité?), les gens peuvent attendre pour la doc.
Note : aucun soucis à ne pas faire de libre ou vouloir temporiser, juste que ce genre d'excuse "on déploie en prod mais ce n'est pas prêt à diffuser" pour ne pas diffuser en libre ça fait plus de 10 ans que je la lis pour au final avoir rarement le code plus tard. C'est pas libre, ok, pas notre priorité voir on s'en fout et on verra plus tard, ok, pas la peine de dire "on veut mais on n'a pas eu le temps".
Rappel : la moitié (au pif, oui, pour l'exemple) de l'interêt d'un code est sa licence (libre ou pas, certains se compte de CC en NC ND), ce n'est pas un truc qu'on choisit après avoir déployé "quand on a le temps".
si tu vas sur predeez, tu verras qu'on ne vend rien et qu'il n'y a pas de publicités qui s'affichent…
Donc pourquoi avoir été aussi pressé pour ne pas avoir pris le temps de penser à la licence?
Bon, suivant ce que je lis du communiqué, ça vend au moins un peu de "temps de cerveau disponible" (bref, pub pour les entreprises derrières, avec des liens tout ça, ça permet de récolter de potentiel futur clients)
C'est ton idée, pas celle de tout le monde.
On parlait de CA, mais du coup ton histoire de SSH est hors-sujet : si c'est superflu pour SSH, c'est superflu d'avoir un CA, donc plus de CA, donc plus de problèmes avec HTTPS.
bref, je ne vois pas où tu veux en venir.
Une entreprise A monte un serveur SSH, une entreprise B veut accéder à ce SSH (typiquement pour faire du SFTP) dans 99,9% des cas elles ne passeront pas par une entreprise C.
Oui, elles passent généralement juste par Internet. Euh, attend…
(perso, ça me fait rire les gens qui proposent du SFTP sans filer le fingerprint par un moyen sûr, en disant que c'est mieux que FTP pas de problème : euh… OK, faisons comme les autres en fait, autant garder FTP, ça suffit comme sécurité en fait. Note que je sais bien que SFTP est quand même mieux car ça évite le MITM après la première connexion et avant que la clé ne change, juste que penser que ça sécurise tout le temps est se mentir, il faut une chaine de confiance à un moment donné, et c'est tout le problème du besoin de CA décrié mais dont on ne propose pas d'alternative pour une généralisation)
mais je ne pense pas que généraliser HTTPS soit la solution
Beaucoup pour penser que HTTPS n'est pas la solution, personne pour proposer une meilleure (en pratique, pas la théorie branlette intellectuelle) solution…
En attendant, on fait quoi? Rien mieux que HTTPS qui a fait ses preuves (si, ça a fait ses preuves et ça marche globalement bien), sérieux?
Ca me fait penser aux français qui poussaient ATM "trop bien ça vire les merdes d'IP ce protocole sans qualité" et IP leur a massacré la gueule (vaut mieux 10 Gbps sans qualité que 622 Mbps avec qualité garantie, ben la pareil pour HTTPS : des gens proposes des contraintes fortes pour une "meilleure qualité" mais en pratique…)
PS : pour les plus jeunes, si vous ne connaissez pas ATM c'est normal, c'était un protocole très cher qui résolvait un problème qu'IP a résolu avec de petites évolutions et qu'en fait ce n'était pas un problème qui valait autant de fric pour le supprimer.
Je suis plus attaché au principe général
Ton principe général résout un problème qui n'existe pas sans résoudre le problème que tu soulèves (oui, je me répète).
Il s'est juste trompé, il a lié vers un cyber-squatteur.
c'est http://packages.devuan.org/
Bon, la blague est toujours la, mais pas celle que tu crois (pas de thune).
Ne pas prendre les gens pour plus horribles qu'ils ne le sont, ça décribilise alors qu'ils sont assez horribles pour rire sans avoir à mentir.
avec son empreinte qu'on pourrait publier dans les enregistrements DNS
donc avec DNSSEC. Mais du coup, si DNSSEC est déployé partout et que ça marche bien (que c'est crédible), DANE n'est plus loin et plus de reproches à faire à HTTPS (c'est résolu avec DANE), donc finalement c'est résolu avant d'attaquer un SHTTP tout nouveau, pshit.
le problème reste la première connexion. Tu ne résouts aucunement le problème, tu proposes un changement de la partie qui n'est pas critique, sans résoudre le problème critique. autrement dis, tu cherches à résoudre le problème qui en n'est pas un sans résoudre le problème qui en est un.
Sinon, pour info, je vois maintenant plus de FTPS (donc équivalent de HTTPS) que de SFTP. Je crains que ça n'aille pas dans le sens que tu aimerais…
Ta réponse me laisse penser que ton usage de GPG est très modéré,
Je voulais faire un passage sur GPG puis j'ai oublié.
GPG = c'est tellement facile à utiliser que quasi personne n'arrive à utiliser.
Faut arrêter le délire de dire "utilise GPG" : d'abord, il faut fournir un façon simple pour les utilisateurs d'avoir confiance.
Moi-même je me considère comme pas trop à la ramasse en gestion de sécurité et n'ai rien compris à Enigma pour Thunderbird et de comment on gère le bousin pour arriver à ses fins. Alors je n'ose imaginer l'utiliser moyen des emails…
Par exemple, dans la pratique, je ne me rappelle jamais avoir récupéré un clé SSH sur une page Web, par contre, plusieurs fois depuis un e-mail signé (en même temps je suis un admin sys amateur du dimanche et veux bien croire que des pratiques différentes sont communes).
Ce n'est pas scalable.
en pratique, tu files ta clé publique sur l'interface d'admin de l'hébergeur et il s'occupe de la mettre sur le serveur (bien sûr, uniquement si tu acceptes qu'il y accède :), généralement je vois ça pour du partagé plutôt, mais l'idée est la : il faut fournir sa clé par un moyen tiers, et je me demande comment les gens qui disent que le tiers est superflu avec SSH font, soit pour filer leur lcé publique soit pour avoir confiance dans le fingerprint SSH à la première connexion bref toujorus cette première connexion… que les décriées CA font, pas 100% sûr mais ce qui s'en approche le plus d'une façon utilisable par le commun des mortels).
Pour SSH par exemple la certification par tiers est superflue.
Pardon?
Que tu répondes "rien à foutre, j'attendais un nouveau fingerprint donc j'accepte n'importe quel fingerprint même si le MITM en profite à ce moment peut-être" quand SSH te dis qu'il y a un nouveau fingerprint ne veut pas dire que tout le monde n'utilise pas de tiers pour transmettre le fingerprint (qui sera vérifié, ou pas)
De même, on s'amuse souvent à filer sa clé publique à l'admin, qui doit avoir confiance, donc on a un tiers (souvent un site web dans lequel on rentre sa clé publique, donc protection… par HTTPS! donc le système de tiers qui est conspué ici).
Par curiosité, toi qui dit "Pour SSH par exemple la certification par tiers est superflue.", comment fais-tu pour avoir confiance la première fois que tu te connectes à une machine? Toujorus premier accès en physique?
Pour finir, on peut imaginer un protocole ou tu demandes au serveur de te répondre en utilisant ta clef publique - là la certification ne sert plus à rien. Et il y aurait pas mal d'applications - en fait à chaque fois que la réponse est sensible, mais pas la question.
Pas compris : la réponse en chiffrant avec ta clé publique permet que personne ne regarde, mais tout le monde peut envoyer, donc la confiance reste relative (le méchant peut alors t'envoyer de force informations). quelle utilisation vois-tu de chiffrement par clé publique sans authentifier celui qui chiffre.
J'avoue ne pas encore avoir été convaincu par les exemples de chiffrement utile sans authentifier le correspondant… Et encore moins à coup de "pour x la certification par tiers est superflue" balancé comme ça, j'aimerai des arguments sinon je peux aussi dire sans démonstration "chiffrer c'est que vous avez quelque chose à cacher".
il souhaiterait pouvoir découpler la certification et le chiffrement de la communication.
qu'on m'explique alors l’intérêt de chiffrer si la planète entière peut déchiffrer (vu que la planète entière peut être entre toi et le destinataire sans certification).
Encore une fois, je demande un cas concret de l'utilité du chiffrement sans authentification. A ma connaissance, le chiffrement n'est utile que si tu peux certifier la source. Je demande juste qu'on m'explique en quoi le chiffrement sans certifier la source apporte une quelconque protection de la vie privée de ses utilisateurs.
je pensais a une obligation qu'il aurait (il choisis 6 mois, on ne lui impose pas), la c'est un choix, et si tu fais du journalier (ou si tu as plein de sites à gérer) c'est automatisé.
bef, je critique sa critiques qui attaques avec des arguments eux-mêmes criticables.
et surtout, comme très souvent, pas d'alternatives "mieux"…
et https change tout ca il y a 99.99% de pages ok et que personne ne sait quelle page tu regardes.
mauvais exemple (ca change pour les sites 100% "subversif", oui, pas pour l'exemple)
un truc apporte de la sécurité dans 99% des cas, mais comme ça ne marche pas dans 1% des cas, il vaut mieux avoir zéro.
chacun son truc, mais cette idée de tout ou rien n'est pas mon idée. On n'avance jamais avec un telle façon de voir.
un certificat ça coûte des thunes. Oui oui StartSSL, letsencrypt machin. Non je suis pas d'accord, car c'est un monopole (bientôt duopole),
Qu'est-ce qui empêche un triopole, un quadruopole, puis un… bon, je passe, en fait ce n'est pas un argument : tu peux ajouter un n-ième cas si tu veux.
la gestion des certificats c'est chiant, grave.
gni? vraiment?
tous les 6 mois il faut que je renouvelle les certificats.
Tu te fous de la gueule de qui?
Au pire, c'est 2 ans (certificats EV) moins disons 1 mois de marge, soit 3,9 fois plus que 6 mois. Et ce que parce que les diffuseur de certificats ont la flemme de vendre au max possible (2 ans plus quelques mois) mais tu es libre de faire une autorité que propose 27 mois donc tu as 26 avant de changer.
Pour le classique, c'est 3 ans moins disons 1 mois de marge depuis 2014 (jusqu'à 2014, j'avais un certificat qui avait une durée de vie de 10 ans, bons ils abusaient… Je l'ai tué avec le passage à SHA-2).
6 mois, le problème est chez toi.
Mozilla devient CA, et juste après parle de ne plus faire que du httpS. Tiens tiens, un business plan sous le coude ?
Quel lien financier entre les deux?
C'est un sacré frein à la création de site web et à l'amateurisme (au sens noble), la barrière d'entrée sur le web devient encore plus haute.
Connerie : les web amateurs sont hébergé en mutualisés, l'hébergeur s'occupe de tout (DNSSEC même, c'est d'office ou alors mauvais hébergeur).
mais crève donc Mozilla, crève donc,
On m'accuse d'anti-Mozillaisme, mais la j'ai trouvé mille fois pire que moi…
MERCI Mozilla (et les autres en fait) pour ce choix.
(je sais que les fanboys Mozilla oublieront ce côté positif que j'ai envers Mozilla à la prochaine critique de Mozilla que je ferai et m'accuseront de toujours cracher sur Mozilla, mais je sais moi que j'aurai défendu Mozilla sur ce point).
Dans mon cas, je souhaiterai chiffrer la connexion entre mes utilisateurs et mon blog pour leur vie privée, mais je n'ai pas besoin d'avoir un truc signer par un tiers pour juste chiffrer des données.
A moins que j'ai loupé un passage, de ce que je comprend du chiffrement aujourd'hui, sans certification tu ne protèges pas la vie privée de tes utilisateurs, à part cas exceptionnel (que celui qui veut regarder ne soit pas sur le chemin).
Veux-tu dire que protéger la vie privée de tes utilisateurs dans le cas exceptionnel où celui qui veut regarder n'est pas sur le chemin (bref, un dump Wifi plutôt que la boite noire chez le FAI, comprenant celui qui fournit le Wifi) te suffirait? Ca me parait bien maigre comme besoin surtout comparé au faible coup de la certification en plus qui apporte quand même beaucoup de mon point de vue.
Vu comment les navigateurs présentent les certificats auto-signés, on a l'impression d'avoir affaire à une escroquerie quand le navigateur balance ça page "d'erreur".
Comment peux-tu faire la différence entre escroquerie et légitime dans ce cas.
Parce que bon, c'est quand même pas mal "on ne se connait pas, j'utilise une chaine de confiance inexistante, mais promis c'est moi".
Les certificats auto-signés (et ceux signés par des autorités qui ne sont pas dans les navigateurs principaux de leurs utilisateurs), c'est mal (à utiliser que pour la machine de test).
Bon, sinon, le prix d'un certificat devient abordable.
Voir 0 (startssl, où tu payes que si tu te fait piquer ton certificat, ce qui est très rare si tu fais un minimum attention).
De plus, si tu demandes des sous, ça serait bien de préciser tes éventuels liens avec le site web en question,
Et surtout combien. Parce que bon, même Microsoft est intéressé à libérer tous ses produits en GPL si iil le faut, à partir du moment où le montant offert est "correct" (pour Microsoft, ça doit être de l'ordre de 500 Milliards de $).
Bref, ce journal est inutile car il n'apporte absolument aucune information (même pas un lien vers un post des admins du site disant qu'ils sont ouverts à la libéralisation pour pas trop cher).
Et surtout il dit :
TODO: ajouter un bouton de don visible, libérer le code sur github, implémenter de l'asm.js, des optimisations, moderniser, refactoriser le code, ajouter des feuilles CSS, remplacer Google analytiques par Piwik, enlever des scripts malveillants, et ajouter une rubrique ou la communauté peut publier et plus si affinité et vice et versa !
En gros, il reste à faire un moteur de site web… Car celui "proposé" est trop spécifique à un site.
(moi je trouve ça plutôt bien, bien qu'un peu violent (mais c'est le but du terme "privateur"))
bah… Il faudrait alors aussi mettre un "attention, F-Droid promeut des téléphones non libres" (je ne connais aucun téléphone libre sur lequel tournerait F-Droid, à commencer parce qu'aucun CPU libre utilisable existe).
Bref, ils feraient bien de nettoyer devant leur porte avant d'attaquer de cette manière les autres…
Note : je n'ai rien contre informer, il faut juste être cohérent et non mensonger ("promeut", rien que ça… Non, ça permet seulement, tu es libre de ne pas utiliser les parties non libres seulement. bon, après, à revient à RMS qui trouve Debian non libre car "promeut" en simplement le permettant d'installer des logiciels non libres… Pareil avec "épie", ils y vont bien forts quand même)
Je comprends qu'il ne faut pas supprimer le logo Onlyoffice pour y mettre le tien.
Exactement ce que je dis.
et exactement ce qui me gène.
Relis ce que j'ai écrit.
Ca ne te dérange pas de de voir faire la pub forcée de l'upstream, perso c'est une liberté que je perd dans ce que je peux faire avec la mise en page (par exemple n'afficher aucun logo).
Après, je me demande si mettre mon logo en haut et mettre le logo OnlyOffice en petit (1 pixel) en bas passe (ce n'est pas une suppression).
Pour moi, l'attribution (telle que AGPL, GPL, CC-BY…) demande de garder l'attribution, mais dans la boite "à propos", pas forcée dans la page web principale que je considère non "reasonable".
Ca me rappelle quand même furieusement les sections invariantes de la GFDL que quasi tout le monde s'accorde à dire que c'est non libre.
C'est de AGPL3, une sorte de GPL qui t'oblige à garder la source, un peu comme Flowplayer, Pydio etc…
Oui et non, à ma connaissance je peux remplacer le logo de Flowplayer par le mien si j'en ai envie https://flowplayer.org/license/
En fait, on ne peut même pas utiliser le logo à partir du moment où on touche au code.
tu vois la différence?
http://www.onlyoffice.com/fr/license-faq.aspx
"En profitant de ce droit nous ne vous donnons pas l'autorisation de supprimer le logo original d'ONLYOFFICE™ des produits ou des composants ONLYOFFICE™ ou le remplacer par votre propre logo."
Ca semble signifier qu'il faut forcément afficher le logo dans la page, bref faire de la pub tout le temps pour l'upstream.
Ca semble faire référence à "Requiring preservation of specified reasonable legal notices or author attributions in that material"
C'est pratique avec "reasonable", on ne sait pas trop où est la limite, faudrait un juge qui dit que obliger à afficher le logo de l'upstream est "reasonable".
perso, je ne suis pas fan des licences qui obligent à garder le logo bien évident en place, ça n'est pas compatible avec l'idée que je me fais de la liberté (aucun problème pour afficher le logo et le nom de l'upstream dans le "à propos", mais de le garder dans l'interface permanente…).
As-tu des preuves que quelqu'un veut te pourrir la vie dans ce cas.
Ne pas faire attention à ton cas spécial alors que tu ne payes rien du tout != pourrir la vie de quelqu'un (sous-entendu intentionnellement)
Perso, je suis suis que si tu proposes un patch il sera accepté (oui, ça faisait longtemps le coup du "envoie un patch", mais bon tu le cherches en insinuant que les gens te pourrissent la vie intentionnellement)
[^] # Re: Des vrais paquets ?
Posté par Zenitram (site web personnel) . En réponse au journal Gitlab: paquets Debian, intégration continue. Évalué à 4. Dernière modification le 07 mai 2015 à 14:31.
Bah, il suffit d'ouvrir le paquet avec un bon logiciel (qui regarde le paquet, sans l'installer) pour voir où ça s'installe ;-).
bon, allez pour la curiosité :
199 objets dans gitlab-ce_7.10.1~omnibus.2-1_amd64.deb\data.tar.\opt\gitlab\embedded\bin\
(pg_xxx, git-xxx, redis-xxx, bunzip etc… ah ouais, quand même)
[^] # Re: Omnibus c'est hasbeen !
Posté par Zenitram (site web personnel) . En réponse au journal Gitlab: paquets Debian, intégration continue. Évalué à 7. Dernière modification le 07 mai 2015 à 14:26.
basculer que du côté payant mais libre, ou il faut basculer du côté payant et non libre?
Payer est une chose, avoir un binaire sans source et sans droit de modification en est une autre.
(moi qui croyais qu'on aimait le libre ici… faut informer surtout si c'est libre ou pas, car ça peut être payant et libre comme ça peut être payant et non libre)
[^] # Re: FirefoxOS
Posté par Zenitram (site web personnel) . En réponse à la dépêche Gestion de la vie privée sur Android : CyanogenMod vs Kapuer. Évalué à 2.
donc, on a le droit d'installer qu'une "app web", l'équivalent des droit d'un site web sur iPhone mais en local.
quelle liberté!
Faut arrêter de faire croire qu'on peut installer des applis "self-published" sans passer par le Marketplace de FFOS, c'est de la théorie, en pratique dès que tu veux faire un truc "normal" (accéder au matériel, SMS, est si anormal???) bam passe par le store.
[^] # Re: Peut-on se protéger de Google tout en continuant d'utiliser Android??
Posté par Zenitram (site web personnel) . En réponse à la dépêche Gestion de la vie privée sur Android : CyanogenMod vs Kapuer. Évalué à -4.
F-Droid est le genre de dépot intégriste qui balance des "Cette application promeut des extensions privatrices" et des "Cette application épie et rapporte votre activité" au moindre petit truc anonyme pas méchant (la, c'est affiché ça pour Firefox, trop fort), donc non il ne faut pas soutenir F-Droid qui exclut plutôt que d'inclure.
Pour le moment, pas d'offre alternative qui soit correcte (qui a des chances d'être utilisé par du monde, qui ne balance pas n'importe quel texte dès qu'on ne rentre pas dans ce qu'ils veulent etc…)
[^] # Re: Omnibus c'est hasbeen !
Posté par Zenitram (site web personnel) . En réponse au journal Gitlab: paquets Debian, intégration continue. Évalué à 2.
https://about.gitlab.com/features/
"LDAP group synchronization (also compatible with Active Directory) : Entreprise Edition".
Ils ne cachent pas que la version Open Source est leur plaquette publicitaire mais si tu veux toutes les fonctionnalités : passe à la caisse et en non libre.
C'est du semi-libre.
Acheter la version entreprise ;-).
Ben oui, c'est plus ou moins proprio… Plus dans l'esprit proprio avec une version "light" et une version "entreprise".
Ca manque d'un équivalent de GitHub vraiment dans l'esprit libre, je croyais GitLab dans cet esprit mais en fait non :(.
[^] # Re: Explications
Posté par Zenitram (site web personnel) . En réponse au journal Libérer le comptoir du hardware V2. Évalué à 2.
Pas d'argent? OK, donc ils peuvent de leurs sous embaucher une personne "aides au développement en échange". Facile, pas besoin de négocier la libéralisation contre ça.
Ben oui, une aide au développement, ce n'est que de l'argent qu'on ne sort pas directement, alors pas la peine d'essayer de faire croire que ce n'est pas une question d'argent : quand on échange "libéralisation contre aide au développement", c'est qu'on veut dépenser moins.
Si ce n'est pas une question (plus ou moins directe) d'argent, on libère sans conditions, pas la peine de (se) mentir, et ce n'est pas "mal" que de vouloir négocier la libéralisation contre de l'argent plus ou moins direct.
Sinon, plutôt que de dire "aides au développement", dit de combien (en argent ou en heures, c'est équivalent) il faut, car sinon je corrige une faute de grammaire dans un commentaire quelque part, et j'ai aidé, il faut donc libérer.
Ne pas dire combien (en argent ou en temps), c'est parler dans le vide, pour le moment on a juste un "on y pense" mais bon, Microsoft aussi peut y penser, la partie intéressante est "ok, tu as quoi à filer et tu demandes quoi en échange, des faits".
[^] # Re: Peut-on se protéger de Google en utilisant Android??
Posté par Zenitram (site web personnel) . En réponse à la dépêche Gestion de la vie privée sur Android : CyanogenMod vs Kapuer. Évalué à 5. Dernière modification le 06 mai 2015 à 07:56.
C'est un peu se demander si on peut se protéger de Red Hat en utilisant Linux (la réponse est oui, tu utilises Debian, tu auras toujours Linux).
tu parles dans le sujet de l'OS, pour ensuite parler de la surcouche applicative.
Le Store n'est pas obligatoire pour pouvoir utiliser Android.
La, c'est comme dire que seul le repo payant de Red Hat existe pour Linux.
Ha?
comment font alors les près de 290 millions de smartphones tournant sous un « fork », un système d’exploitation mobile dérivé d’Android, qui ont trouvé preneur en 2014?
Bref, déjà il faut être clair sur ce dont on parle, parce que la ça mélange tout (un OS, un contrat en plus si tu veux le Google store).
Si tu proposes le même service pour le même prix (ou plus cher si on pense que l'anti-Google est vendable, beaucoup pour ne pas aimer Google mais peu pour dépenser 1€ pour ça), les utilisateurs seront plus à même de changer. Le problème est le manque d'offre de ceux qui se plaignent du tout Google. Il n'y a plus qu'à ;-).
(par exemple, OpenStreetMap commence à être plus ou moins utilisable pour remplacer Google Map)
[^] # Re: Et le code ?
Posté par Zenitram (site web personnel) . En réponse au journal Predeez vous permet de prouver au monde que vous avez toujours raison. Évalué à 2.
Prédiction ou IP over Time?
Parce que ne pas avoir fait la partie technique et avoir quand même un site fonctionnel, c'est pas mal.
Le site est la (sur le serveur au moins), un Git push avec un petit message "licence WTFPL et aucun support" et les gens se démerdent. Rien à voir avec la technique (à moins que vous ayez des failles et que vous préfériez commencer en sécurité par l'obscurité?), les gens peuvent attendre pour la doc.
Note : aucun soucis à ne pas faire de libre ou vouloir temporiser, juste que ce genre d'excuse "on déploie en prod mais ce n'est pas prêt à diffuser" pour ne pas diffuser en libre ça fait plus de 10 ans que je la lis pour au final avoir rarement le code plus tard. C'est pas libre, ok, pas notre priorité voir on s'en fout et on verra plus tard, ok, pas la peine de dire "on veut mais on n'a pas eu le temps".
Rappel : la moitié (au pif, oui, pour l'exemple) de l'interêt d'un code est sa licence (libre ou pas, certains se compte de CC en NC ND), ce n'est pas un truc qu'on choisit après avoir déployé "quand on a le temps".
Donc pourquoi avoir été aussi pressé pour ne pas avoir pris le temps de penser à la licence?
Bon, suivant ce que je lis du communiqué, ça vend au moins un peu de "temps de cerveau disponible" (bref, pub pour les entreprises derrières, avec des liens tout ça, ça permet de récolter de potentiel futur clients)
[^] # Re: Mélange
Posté par Zenitram (site web personnel) . En réponse au journal HTTP poussé vers la sortie ?. Évalué à 0.
C'est ton idée, pas celle de tout le monde.
On parlait de CA, mais du coup ton histoire de SSH est hors-sujet : si c'est superflu pour SSH, c'est superflu d'avoir un CA, donc plus de CA, donc plus de problèmes avec HTTPS.
bref, je ne vois pas où tu veux en venir.
Oui, elles passent généralement juste par Internet. Euh, attend…
(perso, ça me fait rire les gens qui proposent du SFTP sans filer le fingerprint par un moyen sûr, en disant que c'est mieux que FTP pas de problème : euh… OK, faisons comme les autres en fait, autant garder FTP, ça suffit comme sécurité en fait. Note que je sais bien que SFTP est quand même mieux car ça évite le MITM après la première connexion et avant que la clé ne change, juste que penser que ça sécurise tout le temps est se mentir, il faut une chaine de confiance à un moment donné, et c'est tout le problème du besoin de CA décrié mais dont on ne propose pas d'alternative pour une généralisation)
[^] # Re: shttp
Posté par Zenitram (site web personnel) . En réponse au journal HTTP poussé vers la sortie ?. Évalué à 4.
Beaucoup pour penser que HTTPS n'est pas la solution, personne pour proposer une meilleure (en pratique, pas la théorie branlette intellectuelle) solution…
En attendant, on fait quoi? Rien mieux que HTTPS qui a fait ses preuves (si, ça a fait ses preuves et ça marche globalement bien), sérieux?
Ca me fait penser aux français qui poussaient ATM "trop bien ça vire les merdes d'IP ce protocole sans qualité" et IP leur a massacré la gueule (vaut mieux 10 Gbps sans qualité que 622 Mbps avec qualité garantie, ben la pareil pour HTTPS : des gens proposes des contraintes fortes pour une "meilleure qualité" mais en pratique…)
PS : pour les plus jeunes, si vous ne connaissez pas ATM c'est normal, c'était un protocole très cher qui résolvait un problème qu'IP a résolu avec de petites évolutions et qu'en fait ce n'était pas un problème qui valait autant de fric pour le supprimer.
Ton principe général résout un problème qui n'existe pas sans résoudre le problème que tu soulèves (oui, je me répète).
[^] # Re: Et devuan ?
Posté par Zenitram (site web personnel) . En réponse à la dépêche Debian 8 : Jessie l’écuyère est en selle !. Évalué à 3. Dernière modification le 05 mai 2015 à 15:29.
Il s'est juste trompé, il a lié vers un cyber-squatteur.
c'est http://packages.devuan.org/
Bon, la blague est toujours la, mais pas celle que tu crois (pas de thune).
Ne pas prendre les gens pour plus horribles qu'ils ne le sont, ça décribilise alors qu'ils sont assez horribles pour rire sans avoir à mentir.
[^] # Re: shttp
Posté par Zenitram (site web personnel) . En réponse au journal HTTP poussé vers la sortie ?. Évalué à 3. Dernière modification le 05 mai 2015 à 15:22.
donc avec DNSSEC. Mais du coup, si DNSSEC est déployé partout et que ça marche bien (que c'est crédible), DANE n'est plus loin et plus de reproches à faire à HTTPS (c'est résolu avec DANE), donc finalement c'est résolu avant d'attaquer un SHTTP tout nouveau, pshit.
le problème reste la première connexion. Tu ne résouts aucunement le problème, tu proposes un changement de la partie qui n'est pas critique, sans résoudre le problème critique. autrement dis, tu cherches à résoudre le problème qui en n'est pas un sans résoudre le problème qui en est un.
Sinon, pour info, je vois maintenant plus de FTPS (donc équivalent de HTTPS) que de SFTP. Je crains que ça n'aille pas dans le sens que tu aimerais…
[^] # Re: Mélange
Posté par Zenitram (site web personnel) . En réponse au journal HTTP poussé vers la sortie ?. Évalué à -1.
Je voulais faire un passage sur GPG puis j'ai oublié.
GPG = c'est tellement facile à utiliser que quasi personne n'arrive à utiliser.
Faut arrêter le délire de dire "utilise GPG" : d'abord, il faut fournir un façon simple pour les utilisateurs d'avoir confiance.
Moi-même je me considère comme pas trop à la ramasse en gestion de sécurité et n'ai rien compris à Enigma pour Thunderbird et de comment on gère le bousin pour arriver à ses fins. Alors je n'ose imaginer l'utiliser moyen des emails…
Ce n'est pas scalable.
en pratique, tu files ta clé publique sur l'interface d'admin de l'hébergeur et il s'occupe de la mettre sur le serveur (bien sûr, uniquement si tu acceptes qu'il y accède :), généralement je vois ça pour du partagé plutôt, mais l'idée est la : il faut fournir sa clé par un moyen tiers, et je me demande comment les gens qui disent que le tiers est superflu avec SSH font, soit pour filer leur lcé publique soit pour avoir confiance dans le fingerprint SSH à la première connexion bref toujorus cette première connexion… que les décriées CA font, pas 100% sûr mais ce qui s'en approche le plus d'une façon utilisable par le commun des mortels).
[^] # Re: Mélange
Posté par Zenitram (site web personnel) . En réponse au journal HTTP poussé vers la sortie ?. Évalué à 0.
Pardon?
Que tu répondes "rien à foutre, j'attendais un nouveau fingerprint donc j'accepte n'importe quel fingerprint même si le MITM en profite à ce moment peut-être" quand SSH te dis qu'il y a un nouveau fingerprint ne veut pas dire que tout le monde n'utilise pas de tiers pour transmettre le fingerprint (qui sera vérifié, ou pas)
De même, on s'amuse souvent à filer sa clé publique à l'admin, qui doit avoir confiance, donc on a un tiers (souvent un site web dans lequel on rentre sa clé publique, donc protection… par HTTPS! donc le système de tiers qui est conspué ici).
Par curiosité, toi qui dit "Pour SSH par exemple la certification par tiers est superflue.", comment fais-tu pour avoir confiance la première fois que tu te connectes à une machine? Toujorus premier accès en physique?
Pas compris : la réponse en chiffrant avec ta clé publique permet que personne ne regarde, mais tout le monde peut envoyer, donc la confiance reste relative (le méchant peut alors t'envoyer de force informations). quelle utilisation vois-tu de chiffrement par clé publique sans authentifier celui qui chiffre.
J'avoue ne pas encore avoir été convaincu par les exemples de chiffrement utile sans authentifier le correspondant… Et encore moins à coup de "pour x la certification par tiers est superflue" balancé comme ça, j'aimerai des arguments sinon je peux aussi dire sans démonstration "chiffrer c'est que vous avez quelque chose à cacher".
[^] # Re: Mélange
Posté par Zenitram (site web personnel) . En réponse au journal HTTP poussé vers la sortie ?. Évalué à 3.
qu'on m'explique alors l’intérêt de chiffrer si la planète entière peut déchiffrer (vu que la planète entière peut être entre toi et le destinataire sans certification).
Encore une fois, je demande un cas concret de l'utilité du chiffrement sans authentification. A ma connaissance, le chiffrement n'est utile que si tu peux certifier la source. Je demande juste qu'on m'explique en quoi le chiffrement sans certifier la source apporte une quelconque protection de la vie privée de ses utilisateurs.
[^] # Re: Must be a joke
Posté par Zenitram (site web personnel) . En réponse au journal HTTP poussé vers la sortie ?. Évalué à 1.
je pensais a une obligation qu'il aurait (il choisis 6 mois, on ne lui impose pas), la c'est un choix, et si tu fais du journalier (ou si tu as plein de sites à gérer) c'est automatisé.
bef, je critique sa critiques qui attaques avec des arguments eux-mêmes criticables.
et surtout, comme très souvent, pas d'alternatives "mieux"…
facile de critiquer, mais ensuite?
[^] # Re: Mauvais problème
Posté par Zenitram (site web personnel) . En réponse au journal HTTP poussé vers la sortie ?. Évalué à 3.
et https change tout ca il y a 99.99% de pages ok et que personne ne sait quelle page tu regardes.
mauvais exemple (ca change pour les sites 100% "subversif", oui, pas pour l'exemple)
[^] # Re: Must be a joke
Posté par Zenitram (site web personnel) . En réponse au journal HTTP poussé vers la sortie ?. Évalué à -1. Dernière modification le 03 mai 2015 à 22:53.
un truc apporte de la sécurité dans 99% des cas, mais comme ça ne marche pas dans 1% des cas, il vaut mieux avoir zéro.
chacun son truc, mais cette idée de tout ou rien n'est pas mon idée. On n'avance jamais avec un telle façon de voir.
Qu'est-ce qui empêche un triopole, un quadruopole, puis un… bon, je passe, en fait ce n'est pas un argument : tu peux ajouter un n-ième cas si tu veux.
gni? vraiment?
Tu te fous de la gueule de qui?
Au pire, c'est 2 ans (certificats EV) moins disons 1 mois de marge, soit 3,9 fois plus que 6 mois. Et ce que parce que les diffuseur de certificats ont la flemme de vendre au max possible (2 ans plus quelques mois) mais tu es libre de faire une autorité que propose 27 mois donc tu as 26 avant de changer.
Pour le classique, c'est 3 ans moins disons 1 mois de marge depuis 2014 (jusqu'à 2014, j'avais un certificat qui avait une durée de vie de 10 ans, bons ils abusaient… Je l'ai tué avec le passage à SHA-2).
6 mois, le problème est chez toi.
Quel lien financier entre les deux?
Connerie : les web amateurs sont hébergé en mutualisés, l'hébergeur s'occupe de tout (DNSSEC même, c'est d'office ou alors mauvais hébergeur).
On m'accuse d'anti-Mozillaisme, mais la j'ai trouvé mille fois pire que moi…
MERCI Mozilla (et les autres en fait) pour ce choix.
(je sais que les fanboys Mozilla oublieront ce côté positif que j'ai envers Mozilla à la prochaine critique de Mozilla que je ferai et m'accuseront de toujours cracher sur Mozilla, mais je sais moi que j'aurai défendu Mozilla sur ce point).
[^] # Re: Mélange
Posté par Zenitram (site web personnel) . En réponse au journal HTTP poussé vers la sortie ?. Évalué à 0. Dernière modification le 03 mai 2015 à 16:50.
A moins que j'ai loupé un passage, de ce que je comprend du chiffrement aujourd'hui, sans certification tu ne protèges pas la vie privée de tes utilisateurs, à part cas exceptionnel (que celui qui veut regarder ne soit pas sur le chemin).
Veux-tu dire que protéger la vie privée de tes utilisateurs dans le cas exceptionnel où celui qui veut regarder n'est pas sur le chemin (bref, un dump Wifi plutôt que la boite noire chez le FAI, comprenant celui qui fournit le Wifi) te suffirait? Ca me parait bien maigre comme besoin surtout comparé au faible coup de la certification en plus qui apporte quand même beaucoup de mon point de vue.
[^] # Re: Mélange
Posté par Zenitram (site web personnel) . En réponse au journal HTTP poussé vers la sortie ?. Évalué à -10.
Comment peux-tu faire la différence entre escroquerie et légitime dans ce cas.
Parce que bon, c'est quand même pas mal "on ne se connait pas, j'utilise une chaine de confiance inexistante, mais promis c'est moi".
Les certificats auto-signés (et ceux signés par des autorités qui ne sont pas dans les navigateurs principaux de leurs utilisateurs), c'est mal (à utiliser que pour la machine de test).
Voir 0 (startssl, où tu payes que si tu te fait piquer ton certificat, ce qui est très rare si tu fais un minimum attention).
[^] # Re: Explications
Posté par Zenitram (site web personnel) . En réponse au journal Libérer le comptoir du hardware V2. Évalué à 2. Dernière modification le 03 mai 2015 à 11:14.
Et surtout combien. Parce que bon, même Microsoft est intéressé à libérer tous ses produits en GPL si iil le faut, à partir du moment où le montant offert est "correct" (pour Microsoft, ça doit être de l'ordre de 500 Milliards de $).
Bref, ce journal est inutile car il n'apporte absolument aucune information (même pas un lien vers un post des admins du site disant qu'ils sont ouverts à la libéralisation pour pas trop cher).
Et surtout il dit :
En gros, il reste à faire un moteur de site web… Car celui "proposé" est trop spécifique à un site.
[^] # Re: Avertissement sur Firefox
Posté par Zenitram (site web personnel) . En réponse au journal Sortie de la version 0.88 de F-Droid. Évalué à -5. Dernière modification le 02 mai 2015 à 14:19.
bah… Il faudrait alors aussi mettre un "attention, F-Droid promeut des téléphones non libres" (je ne connais aucun téléphone libre sur lequel tournerait F-Droid, à commencer parce qu'aucun CPU libre utilisable existe).
Bref, ils feraient bien de nettoyer devant leur porte avant d'attaquer de cette manière les autres…
Note : je n'ai rien contre informer, il faut juste être cohérent et non mensonger ("promeut", rien que ça… Non, ça permet seulement, tu es libre de ne pas utiliser les parties non libres seulement. bon, après, à revient à RMS qui trouve Debian non libre car "promeut" en simplement le permettant d'installer des logiciels non libres… Pareil avec "épie", ils y vont bien forts quand même)
[^] # Re: Licence intéressante
Posté par Zenitram (site web personnel) . En réponse à la dépêche Publication des éditeurs de documents en ligne de OnlyOffice. Évalué à 4.
Exactement ce que je dis.
et exactement ce qui me gène.
Relis ce que j'ai écrit.
Ca ne te dérange pas de de voir faire la pub forcée de l'upstream, perso c'est une liberté que je perd dans ce que je peux faire avec la mise en page (par exemple n'afficher aucun logo).
Après, je me demande si mettre mon logo en haut et mettre le logo OnlyOffice en petit (1 pixel) en bas passe (ce n'est pas une suppression).
Pour moi, l'attribution (telle que AGPL, GPL, CC-BY…) demande de garder l'attribution, mais dans la boite "à propos", pas forcée dans la page web principale que je considère non "reasonable".
Ca me rappelle quand même furieusement les sections invariantes de la GFDL que quasi tout le monde s'accorde à dire que c'est non libre.
Oui et non, à ma connaissance je peux remplacer le logo de Flowplayer par le mien si j'en ai envie
https://flowplayer.org/license/
En fait, on ne peut même pas utiliser le logo à partir du moment où on touche au code.
tu vois la différence?
# Licence intéressante
Posté par Zenitram (site web personnel) . En réponse à la dépêche Publication des éditeurs de documents en ligne de OnlyOffice. Évalué à 3.
http://www.onlyoffice.com/fr/license-faq.aspx
"En profitant de ce droit nous ne vous donnons pas l'autorisation de supprimer le logo original d'ONLYOFFICE™ des produits ou des composants ONLYOFFICE™ ou le remplacer par votre propre logo."
Ca semble signifier qu'il faut forcément afficher le logo dans la page, bref faire de la pub tout le temps pour l'upstream.
Ca semble faire référence à "Requiring preservation of specified reasonable legal notices or author attributions in that material"
C'est pratique avec "reasonable", on ne sait pas trop où est la limite, faudrait un juge qui dit que obliger à afficher le logo de l'upstream est "reasonable".
perso, je ne suis pas fan des licences qui obligent à garder le logo bien évident en place, ça n'est pas compatible avec l'idée que je me fais de la liberté (aucun problème pour afficher le logo et le nom de l'upstream dans le "à propos", mais de le garder dans l'interface permanente…).
[^] # Re: Utiliser Unity en dehors d'Ubuntu
Posté par Zenitram (site web personnel) . En réponse à la dépêche Sortie d’Ubuntu 15.04. Évalué à 0.
As-tu des preuves que quelqu'un veut te pourrir la vie dans ce cas.
Ne pas faire attention à ton cas spécial alors que tu ne payes rien du tout != pourrir la vie de quelqu'un (sous-entendu intentionnellement)
Perso, je suis suis que si tu proposes un patch il sera accepté (oui, ça faisait longtemps le coup du "envoie un patch", mais bon tu le cherches en insinuant que les gens te pourrissent la vie intentionnellement)