Le 24/03/2021 à 18h 05

(reply:1863026:Trit’)

Personne ne dit ici que les SSD sont fragiles, je crois que tu surinterpretes. Ce n’est pas parce qu’il y a eu du FUD sur ce sujet il y a quelques années, qu’il faudrait s’interdire toute amélioration dans le domaine. D’après la release note, cette compression réduit les “write amplifications”, ce qui a priori est une bonne chose, pas uniquement pour la durée de vie, potentiellement aussi pour les performances (selon le cas d’usage) cf https://fedoraproject.org/wiki/Changes/BtrfsTransparentCompression

Le 26/02/2021 à 20h 14

Merci tu m’as donné envie d’aller faire un don

Le 26/02/2021 à 17h 29

Si c’est pour retrouver du taf dans une boite qui ne prend pas la sécurité à la légère, ils y gagneront.

Le 25/02/2021 à 07h 50

Oh tiens, une répétition de l’affaire Dedalus en vue, à une échelle autrement plus importante? https://www.politico.eu/article/data-at-risk-amazon-security-threat/
Avec whisteblowers virés comme il se doit…

Le 24/02/2021 à 15h 36

Malheureusement le fait que la sécurité soit prise à la légère par des responsables peu scrupuleux, même si ça me fout hors de moi ça ne me surprend pas.

Ce qu’il faut voir c’est comment l’État / l’ANSSI / la CNIL pourrait empêcher ça. Aujourd’hui j’ai pas l’impression qu’ils aient assez de pouvoir ou de volonté pour empêcher ça. Ils paraissent bien peu souvent menaçants contre les mauvais élèves.

Le 24/02/2021 à 15h 31

Il serait aussi question de migrations entre l’ancien et le nouveau systèmes (tous deux de Dedalus), effectuées par Dedalus, qui pourraient être à l’origine de cette fuite (d’après l’article de libé)

Le 24/02/2021 à 16h 57

Le “beaucoup de relecteurs qui vérifient le code”, ça s’applique à quelques grosses / sérieuses boîtes mais c’est loin d’être une généralité, c’est d’ailleurs dans l’argumentaire de cet article.
Je me souviens de cette attaque en 2018 : https://medium.com/@hkparker/analysis-of-a-supply-chain-attack-2bd8fa8286ac
Parfois quand on veut s’attaquer à une cible, il suffit d’examiner les chaînes de dépendances, en dehors du contrôle de la cible, pour y trouver un maillon faible. Cette attaque de 2018 est ingénieuse et en même temps peut être réalisée par un seul hackeur doué, pas besoin d’une armée étatique. Comme dit dans l’article, même lorsqu’on essaye de sécuriser sa supply chain, on peut difficilement tout contrôler tellement ça grossit exponentiellement.

Le 24/02/2021 à 16h 39

C’est le moment de ressortir ce dessin: https://xkcd.com/2347/

Le 23/02/2021 à 17h 14

J’ai râté un épisode, pourquoi ils ont abandonné le message sur les retweets d’article? Ça ne me paraissait pas si mal, c’était quoi le problème?

Le 15/02/2021 à 07h 54

Le hash ne garantit pas l’unicité (il la rend juste probable), or contrairement au mot de passe, une adresse mail sert généralement d’identifiant donc doit absolument être unique. Je suppose que c’est la raison.

Le 12/02/2021 à 11h 47

La responsabilité n’est pas toujours si simple à établir. Les failles peuvent être exploitées en 0-day, venant d’une partie de l’infra qui n’a pas encore de correctif disponible, par exemple. Ici, les passwords leakés sont chiffrés, ce n’est pas dit qu’il y ait un défaut de sécurisation flagrant.

Le 12/02/2021 à 11h 07

bonne réaction! (de toi pas de kubii)

Je viens de vérifier sur haveibeenpwned et mon adresse apparaît bien sur Cit0day, mais comment savoir si c’est le fait de kubii ou non?

Le 30/01/2021 à 09h 45

Taxer ce qui pollue est une mesure pour l’écologie, même si ça ne plaît pas à tout le monde, et même si cela représente par ailleurs une source de revenus pour les États. Tu peux mettre en doute l’intention, ça n’y change rien.

Le 29/01/2021 à 10h 41

Je me demande si greenpeace fait partie du lot. Ils sont pas mal en terme d’écoblanchiment notamment via “greenpeace energy” qui vend en allemagne de l’énergie fossile
( https://twitter.com/simonwakter/status/1354736939027587073 )

Le 29/01/2021 à 10h 26

Bonne nouvelle! Étant sous Fedora, j’espère que les bugs restants notamment dans les logiciels de screencasting soient pris un peu plus au sérieux grâce à ce mouvement.

Le 28/01/2021 à 04h 09

Oui, c’est un truc que je comprends pas, peut-être quelqu’un peut m’éclairer : comme tu dis, le fait que Stream soit en avance sur RHEL ne signifie pas qu’on force à upgrader à chaque maj? Autrement dit il y a toujours, à une version fixe donnée, une équivalence Stream <=> RHEL ?
Du coup, beaucoup de bruit pour pas grand chose?

Le 14/12/2020 à 10h 07

Pareil, 4t, le fait de travailler de chez moi et utiliser peu de transport y est pour beaucoup.

Le 14/12/2020 à 10h 04

Autre intérêt de ce test : mettre en perspective où les efforts ont le plus d’importance. Genre, ce n’est pas en évitant d’envoyer 10 mails par jour qu’on va changer quoi que ce soit, contrairement à ce que certains affirment.

Le 10/12/2020 à 14h 21

Si si, je me suis dit la même chose, c’est assez osé comme discours :-)

Le 03/12/2020 à 12h 56

Gare à l’effet Streisand lorsqu’on s’adonne à la censure, aussi compréhensible soit-elle!

Le 29/11/2020 à 05h 39

En fait, ceux qui subissent le javascript-bashing compensent avec du php-bashing, c’est ça ? 🤔 😅

Le 28/11/2020 à 07h 15

Le nullsafe s’est aussi vu dans des languages backend comme kotlin, c#, ruby etc., avant que ça n’apparaisse dans TypeScript. Et on pourrait même dire que le concept derrière cette syntaxe vient de languages fonctionnels comme haskell (la monade “maybe”). Du coup non je ne trouve pas que ce soit surtout les langages du web qui convergent 🙃
(Je parle bien purement du langage, pas de leur application au runtime)

Le 27/11/2020 à 15h 27

Pour quelqu’un qui n’a pas fait de php depuis 10 ans, j’avoue, ça donnerait presque envie de réessayer.
Au final ça va toujours dans le sens d’une convergence entre tous les langages*.

[*: à part go]

Le 10/11/2020 à 17h 52

Bon en fait il semblerait que Anthos ne soit pas open-source …

Le 10/11/2020 à 17h 40

Derrière Anthos il y a kubernetes, knative et istio, qui sont des technos certes d’origine Google mais open-source et également proposées par la concurrence, donc je ne crois pas que ce soit vraiment du vendor lock-in ici.

Le 10/11/2020 à 15h 16

(quote:1836275:maxime.hurtrel)
Sur le premier aspect (Kubernetes) effectivement on peit penser à Rancher comme concurrent, avec les memes apprpches de gestion multicluster, configuration crosss cluster etc. Mais Anthos va un peu au dela dans la couche de service (basés sur Istio et Knative).

Oui, mais Rancher propose également Istio dans sa stack, tout comme OpenShift (istio = openshift service mesh / knative = openshift Serverless), donc j’imagine qu’il y a d’autres aspects qui vous ont fait choisir Anthos plutôt qu’un autre.

Quoi qu’il en soit, j’ai pas l’impression qu’il faille voir une association “stratégique” du point de vue de google pour proposer ses services sur le sol européen par de nouveaux biais … si c’est juste l’utilisation de briques opensources qui sont de toutes façons presque exclusivement américaines dans le domaine du cloud (s’il faut vraiment chercher à leur mettre une nationalité, mais est-ce pertinent?) (si on le prend comme ça, oui rancher, openshift, istio etc. sont américains; kubernetes via la CNCF est très largement américain)

Le 10/11/2020 à 15h 36

Si jamais y’a besoin d’un relecteur sur ce genre de sujet … 🙋 :)

Le 09/11/2020 à 19h 40

Si si c’est évoqué dans la vidéo

Le 03/11/2020 à 20h 21

Pour moi le souci principal de simplenote c’est le stockage systématique sur leurs serveurs non chiffré. Un vrai “no go”. Le reste est secondaire et subjectif.

Le 03/11/2020 à 17h 39

grsbdl a dit:

Rien à voir avec une faille qui pourrait donner le contrôle du repository

Après lecture du rapport, je n’en serais pas si sûr. Il dit, si j’ai bien compris, qu’il peut récupérer (sous certaines conditions) les variables d’environnement du build (“dumps the process environment”). Et que contiennent parfois ces variables ? Des tokens d’accès pourquoi pas?, ( Par exemple à des registry type docker)

Le 03/11/2020 à 17h 20

Je n’ai pas regardé les détails de cette faille, mais je sais que les devs ont souvent tendance à négliger les vulnérabilités dans les process de build (ça tourne pas en prod donc c’est pas grave). Je ne sais pas si c’est un risque ici, mais les injections de code malicieux via des vulnérabilités dans le build, ça s’est déjà vu (et à la fin ça impacte quand même la prod).

Le 28/10/2020 à 18h 37

Concernant la “visibilité égale”, je ne vois pas comment il pourrait avoir gain de cause.
Ou alors je monte vite fait un moteur de recherche qui s’appuie sur bing, j’ajoute quelques pubs à droite à gauche et je réclame moi aussi ma “visibilité égale”

Le 27/10/2020 à 23h 22

Déjà au départ, le choix d’une instance peut rebuter le néophyte : pourquoi l’une et pas l’autre ? Ensuite, que se passe-t-il si on a choisit une mauvaise instance, et qu’elle ferme/qu’elle est mal maintenue/qu’elle a des pannes? Y’a plus d’incertitude.

Le 27/10/2020 à 21h 15

J’espère que ça prendra !

Je trouve un peu bizarre de prendre facebook comme point de comparaison, c’est beaucoup plus proche de meetup j’ai l’impression.

Le 24/10/2020 à 10h 11

Il doit être possible de faire ça en conditionnel , genre n’afficher la branche que si tu n’es pas dans /mnt , /media ou autres… Au pire si pas possible de le faire avec Oh My Bash tu peux le faire avec le PS1 de base.

Le 24/10/2020 à 07h 24

Oui, si je ne m’abuse, sans le ‘source’ les variables exportées (dont PS1) ne seront pas mises à jour

Le 24/10/2020 à 07h 22

DanLo a dit:

Même si encore une fois en terme d’infos affichées, la valeur ajoutée me semble pas hyper pertinente non plus sauf personnes très spécifiques qui changent de branche toutes les 5 minutes.

Si tu es développeur fais l’essai, à mon avis, tu pourras plus t’en passer! 🙂
Bon ok c’est subjectif, ça peut dépendre de ton usage de git, perso ça me paraît tellement indispensable de savoir à tout moment sur quelle branche je me trouve, bien plus par exemple que le hostname qui à mon avis sert plus aux sysadmins

Le 23/10/2020 à 09h 22

J’en parlais juste au dessus, il y a SimpleNote qui fait ça, avec en prime une app android/iphone pour consulter tes notes n’importe où. Mais comme je disais, moi ça me pose problème niveau privacy, les notes ne sont pas chiffrées, ils gèrent eux-mêmes l’hébergement … va savoir ce qu’ils en font.

Lien : https://simplenote.com/

Du coup, je tente Zettlr + gestion manuelle de git. D’ailleurs n’hésite pas à upvoter ça du coup: https://github.com/Zettlr/Zettlr/issues/1050 :-)

Le 23/10/2020 à 07h 58

Oui, en fait jusque là j’utilise SimpleNote qui ressemble vaguement à Zettlr, mais gère la synchro.

Sauf que ça le fait de façon assez opaque, je ne peux pas configurer comment et où mes notes sont stockées, et je pense qu’il y a de quoi être méfiant niveau privacy. Du coup je tente Zettlr à la place.

Zettlr est aussi plus riche en options.

Le 23/10/2020 à 07h 19

Je suis en train d’essayer Zettlr, pour l’instant c’est très positif / agréable à l’usage (même poussé une première PR pour corriger la traduction française du tuto ) ; par contre ce qui me dérange le plus pour le moment c’est l’absence de synchronisation built-in entre plusieurs devices.
Il y a une feature request sur github, j’espère qu’elle verra le jour.

Le 22/10/2020 à 20h 52

Intéressant, merci pour cette découverte. Dommage que ce soit encore de l’electron. Mais l’interface semble propre et bien pensée. Je vois ça pour de la gestion de documents plus que pour du code.

Le 22/10/2020 à 20h 36

Oh les belles déclarations d’intentions! Coïncidence, le même jour, Pierre-Yves Gosset rappelle dans un long billet de blog sur Framasoft comment l’État français s’est torché les fesses avec le même genre de déclarations. Et comment, in fine, le libre a servi essentiellement à faire pression pour négocier des rabais chez Microsoft.
L’Europe fera-t-elle mieux?

Le 19/10/2020 à 16h 21

Dans ce cas il faudrait utiliser une licence qui aille dans ce sens, mais je rejoins @flan_ , puisque la licence le permet ils n’ont pas à s’en priver. En tous les cas le développeur open-source n’attend rien de plus que le respect de la licence.

Pour aller dans ce sens, j’imagine qu’on peut coupler une licence moins permissive (type LGPL) avec une licence payante pour la réutilisation dans du code propriétaire.

Le 13/10/2020 à 11h 29

La sécurité ultime n’existe pas, de toutes façons, le but étant de minimiser les risques.
Déjà, je suppose que quand on construit ce genre d’archi, on ne duplique pas les clés sur tous les serveurs de traitement? On doit avoir un “garant” qui sert les clés aux autres, et celui-ci, j’imagine, sera plus sécurisé / moins exposé? Histoire qu’un serveur compromis ne suffise pas à tout compromettre.

Le 12/10/2020 à 12h 45

Merci pour la réponse
C’est logique, je pensais juste au stockage, pas au reste.

Le 12/10/2020 à 11h 11

zongap a dit:

Après oui, en soit, si Microsoft le voulait, il y aurait toujours des moyens d’intercepter/voir des données des clients.

Pourquoi? Avec un chiffrement de bout en bout, comment feraient-ils? Bon ok, mis à part de l’espionnage directement sur le terminal avant chiffrement, mais le reste de la chaîne doit être safe, non?

(À condition bien sûr qu’il n’y ait pas d’entourloupe sur qui possède les clés)

Le 13/10/2020 à 07h 56

Je trouve Rust très intéressant aussi mais je ne le verrais pas enseigné en premier langage parce qu’à mon avis trop susceptible de dégoûter un paquet de monde, la courbe d’apprentissage étant ardue, je pense que ça peut convenir à des écoles un peu élitistes mais pas à un système plus généraliste. Par exemple, ici sur NextInpact ça intéresse du monde car l’audience est curieuse / geek / motivée, mais aller appliquer ça sur une audience plus large et hétéroclite … j’ai des doutes.
Après, c’est certainement un des langages les plus intéressants pour l’université mais à un niveau plus élevé genre Master. Enfin c’est juste mon avis :-)

Quant au GC je ne vois pas ça comme un frein, on peut avoir des fuites de mémoire avec ou sans GC, donc dans tous les cas il faut comprendre un peu ce qu’il se passe sous le capot. C’est d’ailleurs sans doute intéressant d’en expérimenter soi-même pour justement voir l’intérêt de le gestion de la mémoire à la rust. Ça fait même un bon enchaînement je trouve : en Licence les étudiants apprennent Go, en Master ils en voient les limites et passent à Rust :-)

Le 13/10/2020 à 07h 12

Je ne sais pas quelle est la norme aujourd’hui dans les universités, mais je pense que Go pourrait être intéressant en remplaçant : accessible pour débutants, typé, utilisé dans l’industrie. Pas comme seul et unique langage à apprendre, mais aux côtés d’autre(s), qui offriraient des paradigmes différents, genre Python.

Le 12/10/2020 à 12h 16

Arclight80 a dit:

Donc si tout les opérateurs se débarrassent de leurs réseaux ruraux, je ne vois pas comment y arriver. Les milliards gagnés ne vont certainement pas être réinvestis pour déployer la fibre dans des zones avec encore moins de clients…

En fait … Et pourquoi pas? Sachant qu’il y a des obligations exigées par l’ARCEP. Les réseaux ruraux vendus ne sont pas “perdus”.

Le 12/10/2020 à 10h 54

Je m’y connais pas plus que ça, mais ce que j’imagine :

Aujourd’hui, les opérateurs téléphoniques déploient la fibre, parfois se la loue entre eux, mais parfois aussi dupliquant les efforts (travaux, matériel …). Genre dans mon petit patelin, Orange avait effectué des travaux l’année dernière, et cet été je vois free qui lance à son tour des travaux aux mêmes endroits, j’ai pas tout compris.

Donc en découplant ces opérations, j’imagine que le but est de limiter des duplications d’une part et d’autre part éviter aux opérateurs de devoir se reposer les uns sur les autres (avec les conflits que ça engendre)

Mais donc oui, au final, les opérateurs de téléphonie vont louer les lignes aux exploitants comme ils le font aujourd’hui au besoin avec leurs propres concurrents.