votre avatar Abonné

fdorin

est avec nous depuis le 26 mai 2017 ❤️

2779 commentaires

Le 10/08/2024 à 21h 05

Vu qu'il y a plein de cheveux sur mon avatar c'est facile d'en tirer quelques uns : la communication et la promotion sont gratuites comme demandé par le [1] mais le fait que l'offre soit disponible ailleurs (donc « sans utiliser à cette fin les services de plateforme essentiels du contrôleur d’accès ») pour « conclure des contrats avec ces utilisateurs finaux » n'est pas obligatoirement gratuit d'après le [2].
Donc Apple fait payer ça.
Donc je n'achète pas Apple :mdr2:

Apple me fait penser à Amazon il y a quelques années, quand la gratuité des frais de port ont été interdit (pour rappel, Amazon a joué le jeu, en mettant des frais à 0,01€).

Apple va s'engouffrer dans toutes les failles, toutes les imprécisions, toutes les interprétations subjectives pour ralentir et faire trainer toute cette histoire, car tant que ça traine, le grand gagnant reste Apple.

Le 10/08/2024 à 08h 58

Bien vu !
:yes:

(La musique qui a été collée ici celle du générique du film "Austin Power 2, l'espion qui m'a baisé"... j'adore le film néanmoins).
.

La musique en tant que telle est sympa (surtout sur le film d'origine que j'ai bien aimé également), mais n'a absolument rien à faire là. Ca gache ce moment ^^

Le 09/08/2024 à 14h 38

Pour les personnes n'ayant pas la ref (et en réponse au sous-titre je suppose ^^).

Les 12 travaux d'Astérix.

(et désolé pour la vidéo, mais je n'en ai pas trouvé sans cette pxxxxx de musique à la cxx qui a été rajoutée et qui gâche tout)

Le 10/08/2024 à 12h 46

Il y a aussi la collecte "côté client" de données via la "télémétrie" et envoyées directement vers les serveurs google.

Jusqu'à preuve du contraire :
1) les informations de télémétrie ne contiennent pas de données personnelles (pas la liste des URL consultées par exemple), sauf peut être en cas de plantage d'un onglet
2) la plupart des navigateurs le font également (même si parfois, c'est de l'opt-out, comme Firefox)
3) si tu penses que Firefox fait mieux sur ce point en navigation privée, je t'arrête de suite.

[edit]
Correction du point 3), sur lequel j'étais en erreur.

Le 10/08/2024 à 10h 26

Je répondais à cette idée fausse que ne pas utiliser les services Google suffisait à ne pas se faire pister par Google, à fortiori si on utilise Chrome.

Le fait que Chrome agisse en spyware même lorsqu'on est en mode incognito est juste une démonstration que Google ne lâche jamais sa proie et que Chrome n'est pas une solution si on désire vraiment protéger sa vie privée.

Ce n'est pas Chrome qui agit en spyware, mais les sites que tu visites. Mais ça, c'est la même chose avec le mode incognito d'autres navigateurs.

Le 10/08/2024 à 09h 07

Non, Chrome est un outil d'espionnage, la plus belle démonstration est la manière dont google a traité le mode incognito:

https://www.wired.com/story/google-chrome-incognito-mode-data-deletion-settlement/

Le mode incognito n'a jamais eu pour but d'être "incognito" sur le web, mais de ne pas laisser de trace sur l'ordinateur sur lequel on est.

Les gens mélangent tout, et viennent se plaindre ensuite. On le voit parfaitement avec les LLM aujourd'hui, accusés notamment d'hallucinations, qui est la preuve flagrante que :
1) les gens ne savent absolument pas comment fonctionnent ce genre d'outil et vienne ensuite se plaindre de dysfonctionnement qui n'en sont en réalité pas ;
2) les gens ne lisent pas, même quand il n'y a qu'une phrase ou deux explicative (je ne parle pas de CGU).

Le 09/08/2024 à 12h 32

Je ne parlais pas de vie privée, la vie privée si c'est sur chrome, c'est de toutes façons hors sujet.

Reste que Google vit de la publicité et des données personnelles. Vouloir le priver de l'un ou de l'autre sous des prétextes de confort, c'est à minima être radin.

Je me contenterai donc de faire la même réponse qu'à fred42. Mozilla tire ses revenus à 86% de Google. Donc la même logique devrait s'appliquer à Firefox.

Le 09/08/2024 à 12h 29

Je me doutais qu'on pouvait me rétorquer le financement de Firefox. :D

:francais:

Le 09/08/2024 à 11h 58

Ce que tu dis n'invalide pas ce qu'il a dit :
quand tu utilises un navigateur fourni gratuitement par une société qui vit en grande partie de la pub, tu devrais accepter la pub en retour.
En plus, il n'a pas parlé de vie privée.

Ok, donc pour Firefox, édité par Mozilla, financée à 86% par Google, société qui tire en grande partie ses revenus de la pub, je suppose que le même raisonnement s'applique ;)
En plus, il n'a pas parlé de vie privée.
C'est ainsi que j'ai compris son expression la piscine Google. Peut-être est-ce que je me trompe sur son interprétation.

Le 09/08/2024 à 08h 43

Absolument pas. La plupart de ceux qui installe un bloqueur de pub, ce n'est pas pour protéger leur vie privée, mais pour éviter d'avoir un écran couvert à 80% de pub sur certains sites.

Je t'invite à aller sur le site du Monde par exemple. Sur un écran large, avec et sans bloqueur, c'est le jour et la nuit.

Accessoirement, c'est aussi un moyen d'accélérer le chargement des pages web, en évitant de télécharger beaucoup de contenus inutiles.

Le 10/08/2024 à 09h 35

Oui, mais si on combine ce traité avec ce mandat d'arrêt, est-ce qu'on peut exiger de la Russie des infos sur les communications de Poutine ?

Aucune idée. Mais ça pourrait être un bon moyen de faire tomber rapidement ce traité. S'il n'est pas respecté par certains, pourquoi les autres le ferai ?

Le 10/08/2024 à 09h 00

Ce n'est pas de la fiction, c'est la réalité :
https://www.icc-cpi.int/fr/news/situation-en-ukraine-les-juges-de-la-cpi-delivrent-des-mandats-darret-contre-vladimir

Ouais, enfin ça, ça n'a rien à voir avec la news et l'adoption du traité. Ca doit faire un peu plus d'un an maintenant qu'il y a ce mandat d'arrêt....

Le 09/08/2024 à 21h 23

Enfin, la portée du texte me parait gigantesque ! Il suffit qu'un pays déclare que n'importe qui, de n'importe quelle nationalité qu'il soit, est sous le coup d'une enquête, et paf! on lui file plein d'infos ?
J'imagine bien la scène :

Bonjour, nous enquêtons actuellement sur un certain POUTINE Vladimir. Pouvez-vous nous donner toutes les info le concernant et le mettre sur écoute svp ? Merci beaucoup ! Bisous

Le 09/08/2024 à 19h 45

On ne peut pas bâtir une société sur des bases qui ne font que changer. En 2024 c'est un soit disant manque de sécurité qui pousserait à réécrire tout le code de la planète, en 2050 ce sera quoi ? et en 2100 ? sommes nous vraiment si médiocre que l'on est incapable d'évoluer, condamné à stagner ?

Les changements sont nécessaires quand il y a un blocage, je n'en vois pas avec le c/c++.

PHP et JS sont parfaitement adaptés à leur domaine, et pour cause, ce sont les gagnants de la compétition pour ces cas d'utilisation. Flash, java, tout cela a échoué. Pareil pour les divers frameworks backend, VB.NET, et autres perl, aujourd'hui le web moderne c'est php et sql.

Javascript a gagné côté client, car c'est le seul langage utilisable dans chacun des navigateurs aujourd'hui.

Par contre, PHP n'a rien gagné côté backend. Au contraire, il est en perte de vitesse.Il suffit de regarder les enquêtes stackoverflow par exemple (2024, 2023, et les années antérieures sont aussi consultables)

PHP maintient un score relativement "élevé" grâce à Wordpress. Retire wordpress de l'équation, et la part de PHP chute drastiquement. Côté backend, aujourd'hui, on trouve plus de dev en JS, Python, Java ou C# qu'en PHP.

Le web moderne reste sur une base JS et SQL (quasiment incontournable), mais certainement pas PHP pour le back.

Le 07/08/2024 à 08h 29

J'ai un vieux vélo de ville rouillé qui a 22 ans, pas besoin d'antivol pour le "sécuriser" le temps de faire une course!

CQFD... la rouille repousse les margoulins. :fumer:

Pas certains que si la rouille couvrait entièrement une porte en métal d'un local que ledit local soit très sécurisé et repousse les margoulins :D

Le 09/08/2024 à 11h 37

il n'est pas sécurisé correctement par mécanismes de sécurité (pare-feux et autres).
Au contraire ! 0.0.0.0 signifie "accessible depuis l'extérieur de la machine" donc il faut justement qu'un pare-feu soit présent, contrairement à binder sur 127.0.0.1 qui ne sera accessible qu'en local (et donc présumé sans risques).

Autre point d'ailleurs, les navigateurs bloquent les ports connus standard :
https://searchfox.org/mozilla-central/source/netwerk/base/nsIOService.cpp#152

Donc justement on se limite quand même sacrément au niveau des services qui pourraient être accessibles en 0.0.0.0:. (Bon ton exemple de SMB typiquement n'est pas dans la liste des ports bloqués… donc OK, mais pour moi la faille de sécurité est aussi présente avec 127.0.0.1)

Au contraire ! 0.0.0.0 signifie "accessible depuis l'extérieur de la machine"
Pour être précis, dans le contexte de la configuration d'un service qui écoute, mettre 0.0.0.0 indique qu'on se fiche de l'adresse de destination pour accepter les communications. On acceptera à la fois les communications internes et externes, dès lors que la communication atteint la machine.

Si tu saisis l'adresse loopback (typiquement 127.0.0.1) tu n'accepteras que les communications en provenance de localhost (interne = la machine).

Si tu saisi l'adresse sur le réseau local (par ex. 192.168.2.38) tu accepteras les communications provenant de l'extérieur (= extérieur à la machine, donc en provenance du réseau = externe) dès lors que l'adresse cible est 192.168.2.28. Si tu es sur ta machine et que tu essaies en loopback (via 127.0.0.1), la communication ne sera normalement pas acceptée, mais elle le sera si tu utilises l'adresse 192.168.2.28.

Si ta machine est accessible via plusieurs réseaux, si tu mets un 0.0.0.0, alors elle acceptera les communications, quel que soit le réseau. Si tu mets une adresse 192.168.2.38 comme adresse d'écoute, mais que ta machine dispose aussi de l'IP 10.0.43.23 sur un autre réseau, alors utiliser cette 2e IP (10.0.43.23) pour accéder au service ne marchera pas .

En fonction de la position du pare-feu dans le réseau, cela peut avoir une très grande importance !

Les subtilités du réseau...

Le 09/08/2024 à 08h 26

Le fait que ton navigateur n'attaque pas 0.0.0.0 est une bonne atténuation du risque. Mais le risque reste présent, le service répond toujours en 0.0.0.0, et d'autres navigateurs peuvent continuer à y accéder.

Sur ton poste de travail, il y a probablement des navigateurs "cachés" comme par exemple celui qui gère les connexions WiFi (pour proposer une mire de login), ou un afficheur html dans le client mail. Et ces "navigateurs" n'ont probablement pas uBlock.

ou toute application de type Electron (Teams, Discord, Notion, Slack, VS Code, Obsidian, Twitch, ...)

Le 08/08/2024 à 20h 56

Oui j'avais compris pour le troll :)

Standard était peut-être un peu fort. Cette "interprétation" de 0=localhost était dans l'implémentation de BSD qui a été reprise par les OS qui ont ré-implémentés les "BSD socket".

L'implémentation a toujours été différente coté Windows (winsock) car ils sont repartis de la spec pour leur stack réseau. Meme si on trouve du code BSD dans windows, c'est davantage pour les outils que pour la stack.

Avis perso:

Je ne pense pas que BSD ait volontairement voulu donner la sémantique INADDR_LOOPBACK (127.0.0.1) à INADDR_ANY (0.0.0.0) dans le cas d'un connect(). Ca ressemble plutôt à l'interprétation du développeur C quand il a été confronté à la valeur 0 (zéro). Comme 0 (zéro) et "0.0.0.0" ont la même représentation (0x00000000), ca sent le raccourcis logique 0 = "0.0.0.0" = pas de routage => on reste sur l'hôte local.

Avec cette faille, j'espère qu'on aura l'explication d'un vieux de la vieille sur le pourquoi. J'adore ces anecdotes sur l'archéologie des logiciels. Ex: le blog de Raymond Chen.

Ok, je comprends mieux. Merci pour les précisions ;) Nul non respect de standard ici donc, car il n'y en a pas vraiment sur ce point précis.
Avec cette faille, j'espère qu'on aura l'explication d'un vieux de la vieille sur le pourquoi. J'adore ces anecdotes sur l'archéologie des logiciels. Ex: le blog de Raymond Chen.
C'est toujours intéressant effectivement, et souvent riche en informations !

Le 08/08/2024 à 19h 38

jaloux ^^

Le 08/08/2024 à 19h 13

Ce n'est pas un "mauvais choix" mais une spécification de BSD qui a été reprise dans Linux. En IPv4 comme en IPv6.

Comme Microsoft ne suit pas les standards, pour une fois ca tombe du bon coté de la tartine pour Windows. Mais je n'appellerai pas un "bon choix" le fait de ne pas suivre les standards.

je trollais hein ;) (cf. le smiley).

Par contre, je ne vois pas pourquoi tu dis que Windows ne suit pas les standards. Pour le coup, et à ma connaissance, l'usage d'adresse 0.0.0.0 ne fait pas partie du standard (je parle bien de l'adresse, pas des blocs 0.0.0.0/8)

edit]
la [RFC 5735 section 3 précise l'usage possible de 0.0.0.0. L'IP 0.0.0.0 devrait (MAY) être utilisée qu'en tant qu'adresse source, pas en tant qu'adresse cible. Donc toute communication à destination de 0.0.0.0 devrait, d'après la compréhension que j'ai de la norme, être rejeté.

J'ai bien employé devrait pour refléter le MAY de la norme. Autrement dit, ce n'est pas une obligation, mais une recommandation forte. Allez à l'encontre n'est pas formellement interdit, mais ne va pas dans le sens de l'esprit de la norme.

Donc pour le coup, c'est même Windows qui respecte mieux la norme sur ce coup là !

[edit 2]
Pour être le plus précis possible, je suis remonté jusqu'à la RFC 1700, où le texte est beaucoup plus clair à mes yeux, et n'utilise pas MAY :
This host on this network. Can only be used as a source address (see note later)

Le 08/08/2024 à 17h 45

Certains étant très prompt à dézinguer les mauvais choix de Windows lorsqu'il s'agit de sécurité, j'espère qu'ils seront également prompt à dézinguer le mauvais choix de Linux (et de macOS) quant à la gestion des adresses IP :troll:

Le 08/08/2024 à 20h 23

Je ne pense pas qu'il s'agisse d'altération unicode, sinon un simple table de correspondance permettait de revenir à un encodage basique. Comme Liam le suggère, c'est probablement un watermark purement statistique, avec des probabilité d'occurrence de mots ou de type de construction de phrase légèrement altérées par rapport à un locuteur humain classique. La difficulté, c'est qu'entre deux locuteur humains différents, la distribution est probablement très différente. Il faut donc trouver une distribution suffisamment étrange pour être à coup sûr non-humaine, mais suffisamment subtile pour ne pas être détecté comme telle à la lecture par un humain et conserver le sens et le style désiré initialement. Sacré défi !

Bref, à mon avis, un watermark ne sera fiable que pour la génération de texte de quelques milliers de caractères (c'est là que ça importe, une IA qui écrit simplement "il fait beau" OSEF) . Ce nombre varie en fonction des langues, selon le nombre de mots et de tournures disponibles. Par exemple en français, le nombre de mot est relativement faible par rapport à l'anglais ou l'allemand, mais le nombre de tournures possibles, voire même de figures de styles dont les francophones raffolent, est supérieur. Bref, comme d'habitude pour l'IA, c'est un boulot pour très gros matheux !

C'est effectivement une possibilité. Après, il faut donc que ce soit le modèle lui-même qui ajoute le watermark, car ça me parait difficile d'ajouter un watermark de ce type après-coup.

Il faut donc que le modèle ait été entrainé ou fine-tuné pour l'inclure. Est-ce possible, je ne sais pas. C'est en dehors de mes compétences !

Le 08/08/2024 à 17h 30

Stocker les textes générés ne me semble pas viable. À un moment donné, GPT va écrire du texte qui sera à l'identique de celui d'un humain. À partir de là, qui a raison ?

Si j'écris "Aujourd'hui, il fait beau" et que GPT génère la phrase "Aujourd'hui, il fait beau". Cela rend-t-il de fait ma phrase comme étant générée par IA ?

En fait, j'ai du mal à voir comment le texte peut avoir un watermark. Les éléments cités dans l'article me semblent un peu bizarre... Les emoji ça se supprime. Le texte traduit et retraduit par Google Translate, c'est un risque à ce qu'il réécrive le contenu.
Pour les images, un filigrane invisible c'est déjà utilisé de longue date dans d'autres domaines. Pour du texte, je suis preneur d'explications (compréhensibles, pas 3 tonnes d'équation de préférences) sur le procédé.

Je ne fais que des hypothèses, au vue du peu d'informations que nous avons. Comme il est mentionné la présence d'émojis dont la suppression manuelle pourrait invalider le watermark, je me demande s'il ne joue tout simplement pas sur l'encodage Unicode.

Un même caractère unicode peut avoir plusieurs représentation distinctes et toutes valides.

Par exemple, en Unicode le caractère "è" est le caractère numéro 0x00E8. Mais il peut aussi être représenté comme un "e" avec suivi du signe diacritique "`" (et donc encodé 0x0065 0x0300).

Un même caractère, plusieurs codes unicode.

Au début de l'UTF-8 et de l'UTF-16, un même caractère Unicode pouvait être encodé de plusieurs manières différentes : rien n'obligeait à utiliser le nombre minimum d'octets pour encoder un caractère, et un caractère encodable sur 2 octets pouvait l'être sur 2, 3 ou 4 en UTF-8 par exemple. Un phénomène connu sous le nom d' overlong. Mais depuis cette pratique a été interdite par des RFC. Dans la mesure où cette pratique est maintenant interdite, je ne pense pas que cela soit ça (mais ça a existé).

Il serait aussi intéressant de savoir si c'est le copier/coller depuis ChatGPT qui est détecté ou le texte en lui-même. Si c'est juste le copier/coller, cela pourrait donc bien signifier que le watermark est dans l'encodage des caractères. Si c'est le texte lui-même (par exemple, en le recopiant à la main), alors c'est le texte lui-même qui porterait une information (reste à savoir laquelle...)

Le 08/08/2024 à 15h 23

Je ne dit pas que vous dites êtes d'accord avec moi, mais je pense au fond que vous l'êtes, et ça c'est mon opinion :) Après je suis d'accord pour que dire que c'est peut être déplacé de le penser. C'est juste que vous prenez pas le temps d'envisager mon angle de vue, ce qui rend la discussion stérile.

Vous ne pouvez pas contredire mon point de vue, pourtant attayé, pour m'imposer tranquillement le votre. Depuis le début, c'est ce que je vous faites. Vous pouvez éventuellement m'aider à mieux construire mon opinion, mais pas m'imposer la votre. Je rappel que vous écrivez sous mon commentaire.

A la limite, si vous aviez dit "je comprend votre point de vue mais personnellement j'estime que le C restera un langage de choix bon gré mal gré", ben simplement, on aura échangé nos points de vue, et c'est OK.

Mais vous êtes dans l'attaque, ça me met sur une position défensive, c'est assez usant, d'autant que j'argumente mon point de vue et ai étayé mon propos, tout en l'équilibrant et en le relativisant face un à un sujet à contextualiser selon les cas.

Et puis je vous trouve assez gonflé de venir dire sous mon commentaire qu'il est de type "yakafokon" quand vous écrivez comme premier commentaire de l'article à propos de Crowdstrike :

"Ne jamais dire jamais. Surtout en informatique, et encore moins quand on a le cul sale et qu'on est à l'origine d'un des plus grands fiascos de l'informatique.

Pour preuve :
- le processus de vérification n'aurait jamais du laisser passer cette erreur (zut, il était bogué lui aussi)
- un fichier de définition ne devrait jamais faire planter un driver (zut, c'est pourtant ce qu'il s'est passé)"

Si ça c'est pas du "yakafokon" pure ! Pourtant, je ne suis pas venu vous expliquer sous votre commentaire que vous devez avoir forcément mon opinion !

Je ne suis pas votre miroir, ni votre agent conversationnel, ni votre chose à placer dans un bloc if/else (ce que vous avez fait dans un autre fil), ni une chose mentale sur laquelle vous pouvez projeter ce que vous voulez. Merci de ma pas me considérer comme tel. Mon opinion n'empêche pas la votre, et cela doit être réciproque. Entre deux opinions subjectives, vous choisirez la votre, et je choisi la mienne, et alors ? On est dans un espace de commentaire d'un site de vulgarisation sur l'IT, c'est tout.

Vous êtes libre de penser ce que vous voulez, pas de me dire ce que je dois penser.

Vous vous sentez attaqué ? J'en suis bien désolé, ça n'a jamais été le but. Ce que je perçois, de vos différents propos, ce n'est pas une opinion, mais une présentation de faits totalement péremptoires. Et vous appelez ça argumenter ? Je ne fais que réagir à vos commentaires (et si j'avais regardé qui les avait écrit avant, j'aurais peut être évité d'écrire pour éviter un dialogue de sourd).

Vous analysez les silences, les faits sur lesquels je ne reviens pour venir me dire que je suis d'accord avec vous, etc. avec cette manie de faire de multiples commentaires pour ne pas dire grand chose au final et des arguments (quand il y en a) vides de sens ou totalement sorti de leur contexte. J'ai plus l'impression d'avoir un Dunning-Kruger en face de mois qu'autre chose.

Si vous dites une chose qui me parait absurde, et bien je le dirai. Pas parce que j'ai envie de vous enquiquiner. Car, comme vous dites (attention, oui, là je suis d'accord avec vous) : On est dans un espace de commentaire d'un site de vulgarisation sur l'IT. Je prends plaisir à lire les commentaires des uns et des autres, notamment lorsqu'il apporte des éléments riches, éclairés et sourcés qui apportent une véritable plus value. Et je fais de même lorsque cela me semble pertinent. Et lorsque j'écris un commentaire, je n'ai jamais comme objectif de me "farcir quelqu'un". Mais si quelqu'un écrit une énorme bêtise, je ne vais pas m'empêcher de le lui dire.

J'accepte volontiers les désaccords. Je n'ai pas la science infuse. Il m'arrive aussi de me tromper. Ca m'est déjà arrivé, et je suis certain que cela m'arrivera encore. Mais balancer des faits comme étant des soi-disant vérités comme vous le faite, en prenant d'énormes raccourcis, etc. désolé, mais non, ce n'est pas "donner une opinion".

Je viens de voir que je viens encore de perdre 20min à vous répondre. Personnellement, j'ai autre chose à faire que cette conversion absolument pas constructive. Bonne continuation.

Le 08/08/2024 à 11h 58

Enfin, tous les commentaires de moi que vous avez cités sont factuels. Au fond, vous ne les réfutez pas. Nous sommes donc d'accord depuis le début, et si vous tirez des conlusions différentes face à ces faits, vous avez le droit, c'est ce je vous dis depuis le début. Si vous voulez coder en C, pas de problèmes. Là encore, ce n'est pas "y'a ka fo kon", c'est même tout le contraire. Mes réactions aussi sont constantes.

J'avais dit que je ne répondrais plus, mais vous me prêtez un avis qui n'est pas le mien.

Sans être en désaccord total sur tout, je suis pourtant loin d'être d'accord avec un grand nombres de vos remarques, qui sont loin d'être purement factuelles. Je me contenterai juste d'un exemple pour étayer mon propos (n'ayant pas envie de faire des commentaires bien plus long qu'ils ne le sont déjà, je n'ai pas relevé chaque point pour les "réfuter").
Après, ce n'est pas une question de compétence pour moi, mais c'est juste une question de choisir un langage un poil moins casse gueule.
Rien de factuel, juste un avis. Le votre. Et là dessus, je suis en total désaccord avec vous sur la question de la compétence du développeur.

Le 08/08/2024 à 10h 53

Je ne suis pas dans l'exagération permanente, j'ai écrit dès le début que c'était la pire situation. Relisez aussi mon commentaire qui en parle au départ. Et si j'envisage la pire situation situation, c'est parce que si elle se produit, il faut être capable de l'assumer, simple précaution de base. Vous me donnez des intentions que je n'ai pas, comme c'est à votre habitude maintenant. Est-ce un traitement particulier que vous me réservez ?

Je n'ai pas dit "y'a qua fo kon". Pouvez-vous me citer ? N'est-ce pas vous qui exagérez ?

Mon commentaire initial ne discute pas de Rust. Vous m'y avez amené entre citant plusieurs langages et en expliquant qu'ils étaient trop lents, puis ensuite, vous me reprochez de citer un langage trop récent. Je vous ai cité Rust pour vous dire qu'il y a au moins un exemple. Que ce soit Rust ou un autre langage ne m'intéresse pas beaucoup au fond, c'est pourquoi, dans mon commentaire initial, je n'ai cité aucun langage de particulier. Que la transition se fasse demain ou après demain ne m'intéresse pas beaucoup. Ca se fera quand ça se fera ou ça se fera pas.

Si vous êtes d'accord sur le fond, pourquoi me contredire ? C'est inutile je trouve. Si Rust n'est pas un langage mature, ben il l'est pas, je vais pas vous contredire. Si il l'est, il l'est. Je n'ai pas dit qu'il l'était, j'ai même sous entendu une possibilité du contraire dans des commentaires de fils précédents avant que vous ne le disiez.

Quand à l'historique que vous citez de Rust, je vois pas pourquoi vous partez du principe que je ne le connais pas et que j'aurais besoin d'un cours, et que je ne sais pas tout ce que vous dites. Et pour dire quoi au final qui contredise ce que j'ai dit ?

Non franchement, je comprend pas cette discussion, ni sur quoi ne sommes pas vraiment d'accord. J'ai l'impression que si je dis quelque chose, vous allez détourner la conversion sur autre chose que je n'ai pas dite, puis je vous répond, vous ça recommence et ainsi de suite. Relisez mon commentaire initial, et je vois pas ce qu'il y a à redire.

Est-ce un traitement particulier que vous me réservez ?
J'avais répondu sans faire attention à l'auteur du commentaire (maintenant, chose faite), juste par rapport à son contenu. Donc non, n'y voyez absolument rien de personnel. Je constate en tout cas que je réagis avec une certaine constance à vos propos.
Je n'ai pas dit "y'a qua fo kon". Pouvez-vous me citer ? N'est-ce pas vous qui exagérez ?
D'accord :
- commentaire #10.7 : Dans un autre langage, encore une fois, ce serait beaucoup plus simple.
- commentaire #10.6 : Après, ce n'est pas une question de compétence pour moi, mais c'est juste une question de choisir un langage un poil moins casse gueule.
- commentaire #10.2 : C'est quand même plus simple si le langage gère nativement ces problèmes en 2024, surtout sur des machines modernes qui n'ont pas peur de stocker un int+un test à chaque accès.
- commentaire #10 : Dans un autre langage plus moderne que le C, le programme aurait planté dans 100% des cas dès la lecture de la case N+1 du tableau de N cases

Dénigrer un langage ("plus moderne", "langage un poil moins casse gueule", etc.) sans tenir compte du contexte de son utilisation, ni même du pourquoi il a été créé, en insistant bien sur les aspects obsolètes véhicule un message qui me semble très clair : le langage de base a été mal choisi, il fallait en prendre un autre. Le fameux y'a qua faut qu'on.

Après, ce n'est effectivement pas la première fois que nous ne nous comprenons pas du tout. Fin de discussion pour moi.

Le 08/08/2024 à 09h 41

Mais Rust est un langage moderne, et Rust a un facteur de 1.05 si ma mémoire est bonne. Même Microsoft essaye de basculer vers Rust. Mon petit doigt me dit que c'est pour les même raisons que celles que j'ai évoquées "La firme s’est lancée dans une série d’articles portant sur la sécurité du code informatique. L’éditeur en dresse un tableau peu reluisant, avec un objectif en tête : réduire, et si possible se débarrasser des erreurs liées à la gestion de la mémoire."

Pour les tests, encore une fois c'est une question de choix. Donc si vous faites le choix que c'est pas grave d'avoir 77 fois plus de serveurs pour lancer une batterie de test, c'est votre droit, mais ce n'est pas forcément "tout simple" comme décision à prendre. Maintenant oui, 77 est la pire situation.

Très sincèrement, au bout d'un moment, je ne comprend pas cette discussion. Vous avez le droit de continuer de développer en C, mais mon propos est appuyé et j'ai le droit de constater et de considérer que ce langage a fait son temps, comme un certain nombre de personne l'on déjà fait.

Mais Rust est un langage moderne, et Rust a un facteur de 1.05 si ma mémoire est bonne. Même Microsoft essaye de basculer vers Rust. Mon petit doigt me dit que c'est pour les même raisons que celles que j'ai évoquées "La firme s’est lancée dans une série d’articles portant sur la sécurité du code informatique. L’éditeur en dresse un tableau peu reluisant, avec un objectif en tête : réduire, et si possible se débarrasser des erreurs liées à la gestion de la mémoire."
Ai-je dis le contraire ? Relisez mon commentaire, et vous verrez. J'y précise que Rust est un des rares candidats viables pour la programmation système.
Pour les tests, encore une fois c'est une question de choix. Donc si vous faites le choix que c'est pas grave d'avoir 77 fois plus de serveurs pour lancer une batterie de test, c'est votre droit, mais ce n'est pas forcément "tout simple" comme décision à prendre. Maintenant oui, 77 est la pire situation
Heureusement que vous rappelez à la fin que 77 est la pire des situations, sinon, on pourrait penser que vous êtes dans l'exagération permanente. Ce n'est pas comme si le papier sur lequel vous vous basez datait de 2015 (9 ans, c'est une éternité en informatique, des progrès ont été fait depuis), n'était que rarement cité par d'autres articles, était un proof of concept en mal d'optimisation, et qu'il n'existait pas d'alternative bien plus performante comme Address Sanitizer (pourtant cité dans l'article) "se contentant" d'un facteur 2.
Très sincèrement, au bout d'un moment, je ne comprend pas cette discussion. Vous avez le droit de continuer de développer en C, mais mon propos est appuyé et j'ai le droit de constater et de considérer que ce langage a fait son temps, comme un certain nombre de personne l'on déjà fait.
Utiliser un langage pour démarrer un nouveau projet n'est pas la même chose que d'inclure un nouveau langage dans un projet existant. Ce ne sont pas du tout les mêmes contraintes et à de nombreux niveaux. Maintenant oui, vous avez le droit d'avoir votre opinion, comme j'ai le droit d'avoir la mienne.

J'en ai simplement marre de lire des "y'a qu'à faut qu'on". Ne pas oublier qu'un langage comme Rust par exemple, la première version stable est sortie en 2015. C'est récent pour un langage. Les effets de mode en informatique aussi et il est important de ne pas se jeter sur une nouvelle techno lorsqu'elle sort. Rust a connu de grosses incertitudes quant à a sa survie durant la crise de la COVID en 2020, quand Mozilla a dégagé l'équipe de Servo, dont les membres étaient les principaux contributeurs à Rust.

Aujourd'hui, les choses sont plus stables. Rust a maintenant sa fondation, qui se repose sur plusieurs entreprises dont certains GAFAM, et c'est effectivement un langage qui se réfléchit. Mais il faut :
1) se former (au langage, aux outils, ...)
2) avoir un nouveau projet (ou un projet très modularisé)
2bis) ou avoir une refonte d'un projet qui nécessite une réécriture complète (ce qui est, en fait, l'équivalent d'un nouveau projet).

Le 07/08/2024 à 23h 51

D'après cet article, le temps d'exécution des tests peut être augmenté de 1,8 à 77 fois. Après je l'ai lu en diagonal, et n'irai pas plus loin. Mais dans le pire cas, si votre test de base dure 3 heures, et que vous dites, pour être sûr, à chaque nouvelle version du logiciel, on va augmenter le temps du test par "fois 77", vous pouvez mais bon, c'est comme tout, ça se discute et c'est une question de choix. Dans un autre langage, encore une fois, ce serait beaucoup plus simple.

x77, c'est le pire cas observé pour une implémentation particulière (celle du papier). Que la batterie de tests soit longue, on s'en fiche royalement. Ce n'est d'ailleurs pas un problème en soit, les systèmes d'intégration continue sont justement là pour marquer les builds qui passent et sont donc "déployables".

Et si vraiment la durée des tests était un problème, on augmenterait tout simplement le nombre de machines de test pour faire tourner les tests en parallèles.

Changer de langage ne va pas permettre de résoudre le problème magiquement sans pénalité. Les langages contrôlant les accès à la mémoire sont, de manière générale, plus lent que le C, d'un facteur... qui correspond peu ou prou au 1,8 (Java, C#) à 77 (Python, Ruby) fois celui indiqué dans le papier. Sans compter que le langage aura souvent besoin d'un runtime et/ou d'une VM.

A ma connaissance, il n'y a que Rust qui permettrait de se prémunir de se genre d'erreurs (et à la condition de ne pas abuser du code unsafe), ne nécessitant pas de VM, et ayant un runtime très léger.

Et encore une fois, nous parlons ici d'un driver. Un driver nécessite un langage de bas niveau comme le C, le Rust ou encore l'Ada. La plupart des langages "modernes" sont totalement inutilisables pour écrire un driver.

Le 07/08/2024 à 14h 40

OK, un attaquant qui a des droits admin sur les machines pour déposer le fichier qui fait planter peut exploiter le bug, mais il peut faire bien d'autres choses néfastes sur la machine.

Pas forcément besoin des droits admin sur la machine, surtout en entreprise. Une corruption du proxy est bien suffisante, qui permettrait une attaque de type de l'homme du milieu, souvent facilitée par le fait que de telles entités installent généralement un certificat racine sur l'ensemble de leur parc pour pouvoir analyser le trafic entrant...

Le 07/08/2024 à 14h 31

- "ce bug n'est pas exploitable par un acteur malveillant" : si, pour faire un DOS
J'ose espérer qu'ils contrôlent qui leur envoie les mise à jour de leurs fichiers de configuration (connexion sécurisée et authentifiée ou autre moyen) et que ça ne peut qu'être eux.

Dans ce cas, on ne peut pas exploiter ce bug même avant que la MAJ soit poussée.

Même en vérifiant la provenance, un attaquant pourrait exploiter ce bogue, simplement en copiant le fichier de configuration "défectueux" sur un poste qu'il voudrait rendre indisponible.

Le bogue ne sera plus exploitable quand :
1) il sera corrigé (c'est fait)
2) le correctif sera déployé partout (ce qui n'est pas encore tout à fait le cas, même si une grande part est à jour maintenant).

Mais dire que le bogue n'est pas exploitable par un acteur malveillant, c'est factuellement faux.

Le 07/08/2024 à 14h 08

Dorénavant, un tel scénario avec le Channel File 291 « ne peut plus se reproduire ».
Ne jamais dire jamais. Surtout en informatique, et encore moins quand on a le cul sale et qu'on est à l'origine d'un des plus grands fiascos de l'informatique.

Pour preuve :
- le processus de vérification n'aurait jamais du laisser passer cette erreur (zut, il était bogué lui aussi)
- un fichier de définition ne devrait jamais faire planter un driver (zut, c'est pourtant ce qu'il s'est passé)
- "ce bug n'est pas exploitable par un acteur malveillant" : si, pour faire un DOS

Le 08/08/2024 à 10h 27

Ils ne sont pas directement responsables, mais c'est les seuls dont les OS ont planté à ce point.
Sous Linux et Mac OS, il n'y a pas eu de soucis.

Pour info, Crowdstrike a aussi fait planté du Linux (kernel panic) un mois avant Windows. Pas le même impact sur les utilisateurs, mais même conséquence (équivalent du BSOD)

Le 07/08/2024 à 19h 01

Pardon, je me suis trompé, c'était en réponse à the_Grim_Reaper

Ok, je comprends beaucoup mieux maintenant ton commentaire ;)

Le 07/08/2024 à 15h 04

Tu connais l'infrastructure informatique de Delta ? J'en doute. Des centaines ou des milliers de serveurs Windows qui tombent en rade, ça peut faire tomber d'autres serveurs en cascade.

Je ne vois pas où tu veux en venir. Microsoft n'a rien demandé, n'est pas à l'origine du problème, et c'est pourtant eux qui ont été montré du doigt par la presse "généraliste" suite à la MAJ de Crowdstrike. En quoi c'est la responsabilité de MS ?

Le 07/08/2024 à 14h 35

Bah 1h de dispo d'une maj foireuse et tu mets à jours 10 000 serveurs sans trop de soucis, ensuite tu gères la merde comme tu peux pendant 3 jours, ou plus, c'est généralement ce qui se passe.

Après Delta est peut être pas clean sur certains points, maintenant Unix/Linux ne sont pas touchés par la panne en question, ce qui inclus d'office AWS (sauf OS Windows), IBS OS2, Oracle Solaris, HP-UX, Linux, MacOS, ... donc l'avocat de MS ferait mieux de ne pas demander à ChatGPT de faite la com pour son client.

MS en ce moment dans ca com ils sont vraiment à la ramasse, au départ c'était la faute de l'UE après avoir crié son amour de la démarche de l'UE pendant des années.

MS en ce moment dans ca com ils sont vraiment à la ramasse
Je ne dirais pas que MS est à la ramasse. Le problème leur a été imputé par beaucoup de média "généraliste" qui titrait qu'une mise à jour de Windows provoquait une panne mondiale. L'entité la plus esquintée auprès du grand public (et j'insiste sur "du grand public") ça reste Microsoft, pas Crowdstrike (dont beaucoup ne connaissait pas jusqu'à l'existence).

Le 07/08/2024 à 12h 00

C'est pas totalement foireux non (en tout cas, la partie 1h vs 3j ^^).

Disons qu'il me semble délicat de demander des dommages et intérêts à un presta, si on a refusé au presta d'intervenir et de lui laisser une chance de minimiser le problème.

Crowdstrike et/ou Microsoft (j'inclus Microsoft, puisqu'apparemment ils ont proposé leur aide, même si, pour moi, le vrai responsable reste Crowdstrike) aurait pu intervenir, peut être que le service aurait pu être rétabli dans la journée (mais ça, on ne le saura jamais), minimisant donc les pertes (et donc le montant des dommages et intérêts)).

Après, concernant Microsoft, est-ce que Delta l'attaque à cause de l'affaire Crowdstrike, ou est-ce à cause de la panne Azure qui a touché certains acteurs un peu avant ?

Le 08/08/2024 à 09h 52

:windu: logo t-shirt sous-bocks et napperons déjà déposés à l'INPI :windu: https://next.ink/wp-content/uploads/2024/07/Volocopter.jpg

Ah non, je m'insurge ! Le jeu de mot n'est pas dans le même sens !

Moi je remplace vau-l'eau par volo
Toi tu remplaces volo par vau-l'eau.

C'est autrement différent :cap: :D

Le 08/08/2024 à 09h 43

Idée de sous-titre : Quand tout part à Volo... xD

Le 07/08/2024 à 23h 22

Pas vraiment différents d'après wiki : des problèmes humains et organisationnels, en particulier l'absence de décision prise à la suite des mémos envoyés par les ingénieurs ayant repéré la collision sur les films du décollage, la non-utilisation des moyens de l'armée de l'air américaine afin de vérifier par photographie l'état de l'aile, et l'absence de réaction de la NASA face à une anomalie qui était déjà arrivée à de nombreuses reprises lors de vols précédents ont été des facteurs de l'accident

De ce que j'en sais, les 2 accidents sont assez radicalement différents dans les faits.

Pour Challenger, les ingénieurs ont alerté mais ont été ignorés par les décideurs.

Pour Columbia, les ingénieurs étaient au courant de certaines problématiques, mais n'ont pas été en mesure de résoudre le problème (dégradation possible au moment du décollage). Ils ont donc "fait avec". Sauf que ces problématiques ont malheureusement entrainé une faille dans le bouclier thermique, ce qui a provoqué l'implosion de la navette à son retour sur Terre.

Certains dégâts avaient été observés lors du décollage, et la possibilité d'une défaillance dans le bouclier thermique avait été envisagé. Cette piste n'avait pas été explorée plus en détail car de toute façon, le problème n'aurait pas été réparable. Les astronautes étaient coincés dans la navette et n'avait, quoi qu'il arrive, pas d'autres possibilité que de rentrer sur Terre via la navette (l'ISS était en cours d'assemblage)

Dans un cas, l'avis des ingénieurs a été totalement ignorés. Dans l'autre, non. Dans les deux cas, on peut effectivement soulever des problèmes dans les décisions prises, mais les processus étaient radicalement différents.

Le 07/08/2024 à 17h 34

La NASA a un passé de sécurité qui n'est plus à démontrer ; s'ils ont le moindre doute que les astronautes vont être en danger de rentrer avec Starliner, ils la feront rentrer en mode automatique, vide. Ça vaut toujours mieux que de risquer la vie de deux astronautes aguerris, surtout quand un autre "taxi" existe. C'est effectivement la loose pour Boeing, qui démontre à nouveau des problèmes de qualité dans ses produits.

Ca n'a pas toujours été le cas. L'accident de la navette Challenger en 1986 en est malheureusement le parfait exemple. Il existait de sérieux doute, notamment à cause de la température externe (trop froid), soulevé par les ingénieurs mais ignorés par les dirigeants.

Mais effectivement, suite à cette accident, qui a couté la vie à 7 astronautes, plusieurs enquêtes ont eu lieu, et une revue complète du processus décisionnel a eu lieu. Depuis, je crois qu'il n'y a eu que l'accident de la navette Columbia qui a couté la vie à des astronautes lors de mission de la NASA (mais là, les causes et le contexte étaient très différents).

Le 07/08/2024 à 15h 50

Après CrowdStrike, CrewSpare ?
Ok, je sors...

[edit] Je sors d'autant plus que Crew-9 n'y est pour rien là-dedans, mais le jeu de mot m'est venu tout de suite ^^

Le 07/08/2024 à 16h 59

Ness a trop bu hier, lors de la Array party organisée par CrowdStrike.

Plus sérieusement, ta remarque est des plus pertinente et je me pose la même question maintenant.

Le 07/08/2024 à 16h 46

Et encore, je suis étonné de ne pas trouver une clause comme quoi il ne faut pas dénigrer les produits Apple (clause qui existerait dans le cinéma, expliquant pourquoi un "méchant" n'a jamais un iPhone)

Le 07/08/2024 à 14h 17

J'ai un dilemme : allumer mon poste de travail fait courir un risque, alors que l'éteindre est plus sécuritaire. Dommage que je ne travaille pas chez Microsoft, j'aurais trouvé une excuse pour ne rien faire, car entre la sécurité et une autre option, il faut choisir la sécurité :top:

Le 07/08/2024 à 14h 14

Ouais, enfin Gandalf a quand même oeuvré pour qu'on ferme les yeux (enfin surtout un xD)

Le 07/08/2024 à 14h 13

Les licences de types CC nécessitent que la licence soit clairement visible et affichée. Donc non.

@Flock pourra confirmer je pense.

Le 07/08/2024 à 11h 51

Ça ressemble à une TV non android ce que tu décris.

Effectivement. Mais cela n'empêche pas la TV d'être une TV connectée.

Le 07/08/2024 à 11h 44

TV qui n'aura plus de mise à jour au bout de 2 ans au mieux... et les apps qui vont cesser de fonctionner les unes après les autres. Oui, c'est une bien meilleure solution, c'est vrai.

J'ai une amie qui a une TV connectée qui a plusieurs années maintenant. Et effectivement, elle a de plus en plus de mal à l'utiliser :
- navigation internet : les sites qui utilisent Let's encrypt ne fonctionnent plus
- l'application Youtube est inutilisable

J'ai essayé de lui mettre à jour sa TV, au cas où : elle est déjà à jour. Ce qui n'est pas "connecté" fonctionne encore très bien. Mais le connecté non.

Le 07/08/2024 à 11h 11

J'ai du mal à saisir le prb, si tu n'as pas confiance en google tu installes Chrome sans droits admin (dans %appdata% donc), le service ne s'installera avec les droits utilisateurs et t'auras le même comportement qu'avant ?

C'est juste que je ne pense pas qu'à moi. Je pense aussi aux autres qui installent Chrome avec les droits administrateurs, sans réfléchir aux conséquences que cela peut avoir. Ne pas oublier que la sécurité est l'affaire de tous, pas que de chacun.

Et vu que Chrome est installé sur plus d'un ordinateur sur 2 ayant Windows (dont la part de marché sur le Desktop est de plus de 90%), Chrome (et ses services) sont une cible de choix pour les pirates.

Une faille, si elle est exploitable, avec droits SYSTEM, sur des centaines de millions de postes, ça risque de faire très très très mal.

Le 07/08/2024 à 09h 17

Alors, en fait, il existe un nombre non négligeable de paywalls qui différencient un visiteur d’un bot via user agent, afin de référencer les articles payants dans les moteurs de recherche. Ça reste coté serveur dans l’absolu mais ce n’est pas super efficace pour un visiteur suffisamment motivé.
Pas sûr que la fonction d’Apple suffise dans ce cas though.

Pour Next, la liberation des articles au bout de 30 jours fait que ce n’est pas nécessaire.

C'est vraiment utilisé ou pas comme technique ? Car il me semblait que modifier le contenu en fonction du UserAgent était fortement déconseillé et pénalisé par les moteurs de recherche.
1 2 12 13 14 55 56