Zenitram a écrit 29457 commentaires

par un “pair de confiance”.

Fail : il n'y a pas de pair de confiance "commun". Avec X509, si. C'est payant, oui, mais la fonctionnalité existe, j'ai un pair de confiance commun avec ceux à qui je veux parler. Pas avec PGP où c'est à toi de te démerder pour le trouver le pair.

ce que tu ne fais pas en récupérant tes certificats racines avec ton Firefox téléchargé en HTTP

Oui, c'est une "faille" avec les navigateurs. Mais bon, la faille est une fois, pas pour chaque personne comme en PGP (car jamais signé par un tiers de confiance que j'ai)

les documentations (…) La « vérification manuelle » n’a rien d’indispensable sur le plan technique.

Comment tu rends compatible le manuel non indispensable et lire la documentation? chez moi, je ne sais pas automatiser la lecture de documentation. Fail.

Vous parlez toujours de la belle théorie, moi je parle de la pratique dans la vie réelle, avec un problème avec le tiers de confiance inexistant en PGP. Ce n'est pas un inventant 36 contournement ou raison "c'est pour plus de sécurité" que le problème se résoudra. X509 (et ce qui a été mis en place autour surtout), je paye, oui, mais j'ai la fonctionnalité. Ca pourrait être PGP si vous avez envie, mais trouvez-moi ce tiers commun et faites-moi ça transparent pour l'utilisateur! Un tiers de confiance qui change en permanence, je peux faire ça aussi gratuitement avec X509 (avec mon propre certificat), c'est bon, ça ne résout pas le problème.

PGP est génial, mais alors… Pourquoi il n'est pas utilisé par autre chose que des libristes qui refusent le "mal" par principe?

Ne pas subir les contraintes d'une fonctionnalité complètement manquante n'est pas un avantage

Wow… C'est impressionnant comme les "linuxiens" peuvent être tellement déconnectés de la réalité : il faut que ce soit compliqué, sinon ça ne va pas, et si il faut trouver une excuse bidon, on en sort une bidon.

Restez dans votre tour d'ivoire à vous croire supérieurs, en attendant les autres font tourner le monde et tout le monde et content et raillent ces autistes.

La GPL n'impose rien sur les programmes non liés directement.
Des distros avec du proprio, ça a toujours existé. Des distros ayant des logiciels avec licence non compatible avec la GPL aussi.

Merci mille fois, j'avais l'impression d'être le seul de cet avis

Tu ne l'es pas, je te rassure. En pur adorateur de l'IHM de Windows depuis des lustres (surtout celle de Windows 7, mais celle de Windows XP ou 98 étaient pas mal en leur temps), même moi je la trouve horrible, c'est dire :).

Oh le copieur… (oui, oui, c'est lui le copieur! :) ). Enfin, je crois que pas mal de monde est en phase sur quelles versions de Windows ont été bonnes.

Et de toute manière, 98 a apporté plus de changements au niveau interface que Me.

La vieillesse sans doute, mais de souvenir Me a été une horreur (incompatibilité, instabilité, IHM?)

Par contre, tu as oublié 2k,

2k n'était pas pour le grand public. Bon, OK, pas toujours binaire, disons qu'avec Microsoft et ses OS, il y a des hauts et des bas! Windows 8 m'a l'air parti vers le bas…

On ne se comprend peut-être pas. Mais en attendant, X509 répond à mon besoin sans me prendre un "démerde-toi c'est compliqué mais on s'en fout" pour cette partie "parce que tu comprends, c'est nécessaire d'en chier".

Ce n'est pas en se cachant les problèmes qu'ils seront résolus.

PS : bon, certes, pour le moment, pas trop besoin d'avoir confiance en la personne. Mais le jour où j'en aurai besoin et que j'étudierai les solutions, PGP aura un gros point négatif "vérification manuelle lors de la première validation" dans le comparatif.

j'hesite entre plusieurs réponses pour toi :

C'est vrai, regarder la concurrence objectivement pour apprendre de ses erreurs, ça ne se fait pas!

il y a peut-être possibilité de payer pour l'empaquetage ?

Il y a-t-il un contrat possible avec un packageur? Parce que le .exe, je le met en ligne sur mon site, c'est vite fait. Si je dois dépendre d'une entité tierce, il me faut une garantie qu'il répondra rapidement si j'ai un problème, et "je suis à l'hosto" n'est pas acceptable comme excuse.

Ensuite, ben… Payer pour 0.1% de part de marché? (ben oui, faut un contrat par distro…). Bof, OK balancer 80€/an et 30% pour un truc qui se vend, mais faire tout ça pour si peu de monde… On passe juste, pas assez attirant. Si au moins il y avait un contact "central" qui va sur toutes les distros "majeures"…

Je vois pas vraiment quelle est la difficulté par rapport à un système où tu dois de toute manière aller chercher le .exe ou .dmg sur Internet, et encore, trouver la dernière version et sur un site fiable.

La difficulté est pour le développeur :
- .Exe : 90% des gens
- .dmg : 9% des gens, déjà moins de monde, mais ils sont plus "bankable"
- repo : 0.1% par repo (il faut en faire plein de différents), à part pour un marché de niche, on fait pas.

C'est ça de se la jouer solo, les développeurs abandonnent et vont sur des plate-forme plus sympas. Et du coup les utilisateurs aussi.

Ca se voit surtout si tu embarque une VM pour faire tourner Python ;-).
Et plus sérieusement, je suis en train de goûter à la chose, la seule chose qu'il demandent, c'est le répertoire qui va bien (avec les bons fichiers au bons endroits) avec des binaires signés et je ne leur file jamais mon source, donc je confirme : ils n'ont pas le source.

Windows 98, c'est un peu Windows 95 SP1, ça ne compte pas :)

comme quoi ruban n'est pas adapté à tout…

Bah, ça devient une habitude, toujours une merde d'IHM (et d'OS) sur deux :
- Windows 95 OK
- Windows Millenium horrible
- Windows XP pas mal
- Windows Vista horrible
- Windows Seven très apprécié
- Windows 8, c'est bine partir pour être horrible
- Bonne IHM pour Windows 9?

Ah… Au temps pour moi. Il y en a beaucoup, n'importe quoi est accepté, ou c'est juste "parce que c'est très utilisé"? En gros si je demande l'inclusion de n'importe quel binaire, est-ce OK tant que je respecte l'intégration dans la distro?

Ils auditent toujours, tout le temps.
Mais c'est une erreur que de croire que pour auditer, tu as besoin du source. La seule dont tu as besoin, c'est de regarder les entrées/sorties, et pour ça le source n'est pas nécessaire.

Euh… Des lecteurs "ancien" ne savent pas lire la chose.
Comment pourrir la compatibilité descendante pour le plaisir de faire chier, plutôt que d'utiliser ce qui est prévu pour être ignoré quand ce n'est pas connu.

Donc pour éviter un truc imbitable, on invente un autre truc imbitable.
Le problème à résoudre doit avoir été oublié entre temps…

Argh. Je corrige. Non libre et sans le source (ou avec un NDA et ça ne doit jamais sortir, et encore… Les gens n'aime pas filer le source même avec un NDA, ou alors il a de sacré pénalité incompatible avec le budget de Debian)

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

test de signature
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk9QEiQACg blabla
-----END PGP SIGNATURE-----

On parle de cette horreur… Pas en pièce jointe du tout. Et surtout, c'est pas l'endroit. Mais chut, "c'est parfait" il parait. Ou pas (comment on peut accepter de devoir avoir un logiciel plus mieux compatible pour juste ajouter un bout de signature? Pourquoi devoir faire du pgp/MIME imbitable?)

Debian formant la plus grosse toile de confiance PGP de l'univers connu, ça te fait une autorité de certification sacrément puissante.

Bof. Je ne connais pas de développeur Debian IRL. Encore moins 3.
Faudrait sortir de sa tour d'ivoire un jour, et voir que le monde ne tourne pas autour de Debian : si Debian forme la plus grosse toile de confiance PGP de l'univers connu, cette toile est vraiment très faible, inutilisable par le commun des mortels dans la vraie vie.

Tu parles théorie, on parle pratique.

alors que tout est bien intégré pour faire un système efficace et cohérent au niveau du gestionnaire de paquets notamment.

Les gens gérant le système de paquets acceptent-il le non libre? Si la réponse est non, tu te coupes de la majorité des développeurs, et sans développeurs tu n'as pas les applis demandées par les utilisateurs, juste quelques applis (qui suffisent pour certains, mais pas poru d'autres), et donc pas d'utilisateurs. Ou comment se planter en beauté.

je préfère largement ce dont je dispose dans les distributions Linux ou BSD…

La majorité des gens n'aiment pas l'enferment "si tu veux pas passer par mon store qu'avec du libre, je fait tout pour que tu puisses pas faire".

Sont chiant ces gens qui veulent la liberté, la vraie!
(oui, c'est un troll : c'est rigolo de parler qu'on veut rendre les gens libres quand on fait tout pour les décourager de choisir des logiciels certes proprios mais qui fonctionne : libre, mais seulement si tu fais les choses bien)

Il faut rester honnête : la signature telle que faite avec PGP permet de vérifier que c'est la même personne dans la durée sans trop de contraintes. C'est déjà un gain non négligeable (mais pas la partie problématique)

Ne vérifie pas ce qui ne nécessite pas d'être vérifié.

On revient au truc de base : dit-moi ce dont tu as besoin, je te dirais comment t'en passer.

C'est très facile les système sans besoin de vérifier (tu regardes si c'est la même signature), alors effectivement si tu enlèves la partie problématique, c'est tout de suite plus simple…

Il suffit déjà de confirmer la clef par n'importe quel autre medium : IRC, messagerie instantannée, gmail, courrier, signaux de fumée et imaginer quelle raison aurait quelqu'un d'usurper une identité si vraiment c'est très important.

Oui, donc en fait c'est "démerde-toi j'en ai rien à foutre que ce ne soit pas simple". Justement, c'est la critique faite à PGP.

Tu oses critique le formidable système Linuxiens, en tant qu'utilisateur, tu mériterais d'être brûlé vif!