Deux nouveaux routeurs BGP (dont un de secours) sont nécessaires pour pouvoir moderniser l'architecture réseau. Des serveurs bas de gamme comme les Dell R200 seront parfaits pour cette tâche. Le prix de ces serveurs est d'environ 1000$ pièce. Le remplacement du serveur CVS est un tout petit peu moins urgent mais la machine actuelle a fait son temps et a besoin d'être remplacée. C'est une tâche gourmande en ressources, particulièrement en ce qui concerne les systèmes de stockage. Les développeurs souhaitent acquérir un serveur Dell PowerEdge 2950 III, dont le prix est évalué à 7000$.
Les personnes et entreprises utilisant OpenBSD ou ses dérivés (comme OpenSSH ou OpenBGPD) sont encouragées à aider les développeurs en faisant des dons. La pérennité du projet est remise en cause par les faiblesses de l'infrastructure actuelle.
Les dons peuvent être envoyés via PayPal. Les entreprises peuvent participer par le biais de la fondation OpenBSD. Si vous souhaitez que votre don soit attribué à une de ces deux actions en particulier, pensez à indiquer BGP ou CVS lors de l'envoi. Vous pouvez prendre contact avec Marco Peereboom (marco@) pour obtenir plus d'information. En marge de cette annonce, Robert Nagy (robert@), qui s'occupe notamment du port d'OpenOffice.org cherche à acquérir une nouvelle machine. La machine actuelle prend plus de 12 heures pour builder le port et Robert ne peut pas la laisser fonctionner plus longtemps. Il cherche à s'équiper d'un machine un peu plus moderne, équipée avec un processeur Dual ou Quad Core. Robert a reçu une proposition pour héberger une machine d'1U gratuitement.
Les dons peuvent être envoyés à robert@openbsd.org via PayPal.
Aller plus loin
- OpenBSD (5 clics)
- Appel au don sur undeadly.org (5 clics)
# On n'est pas vendredi mais ...
Posté par Elephant (site web personnel) . Évalué à -7.
C'est sur qu'on est loin du despote multi-millionnaire, mais quand même ...
(Amis BSDistes, vous pouvez me moinsser, je ne pourrai pas vous en vouloir : il est velu celui là)
[^] # Re: On n'est pas vendredi mais ...
Posté par bubar🦥 (Mastodon) . Évalué à -5.
[^] # Re: On n'est pas vendredi mais ...
Posté par Anonyme . Évalué à 10.
[^] # Re: On n'est pas vendredi mais ...
Posté par tuXico . Évalué à 10.
# particuliers
Posté par bubar🦥 (Mastodon) . Évalué à 10.
N' hésitez pas, elles sont vraiment sympas et vous ferez une (petite mais) bonne action.
-> http://openbsd.org/orders.html
Des goodies (t-shirts, etc) sont dispo ici :
http://openbsd.org/tshirts.html
Enfin, vous trouverez certainement dans votre ville un relais OpenBSD (par exemple à Toulouse tout le monde connait la petite librairie proche du Capitole ;) )
Cdlt.
[^] # Re: particuliers
Posté par archaons . Évalué à 4.
Ben, justement non !
[^] # Re: particuliers
Posté par Lockless . Évalué à 2.
[^] # Re: particuliers
Posté par saintamand . Évalué à 5.
# PayPal... et autre ?
Posté par Ellendhel (site web personnel) . Évalué à 6.
http://www.openbsd.org/fr/donations.html
Les chèques iront bien financer l'achat de serveurs et non des tonneaux de bière-à-lutin ?
[^] # Re: PayPal... et autre ?
Posté par ouin . Évalué à 4.
# QQs détails
Posté par gaston . Évalué à 10.
Si vous en avez un et qu'il idle sous un bureau, faire offre à landry@ - je sais que ca se trouve à ~200€ sur ebay, mais j'ai pas vraiment les moyens en ce moment.
Au passage, grâce aux dons de ce style, il y aura bientôt un nouveau miroir FR - les actuels sont trop rares, et la plupart peu maintenus pour ce qui est des snapshots.
Ah, et pour ceux qui se demandent pourquoi une machine à 7000$ pour CVS : la machine est sous pression constante, sert des GO d'octets via NFS (les builds des snapshots sont faits sur un partage NFS à partir des machines de build de chaque architecture), sert de point de départ pour le premier miroir ftp, et bien d'autres trucs encore - on peut difficilement faire tout ca avec une épave montée avec des pièces de récup.
[^] # Re: QQs détails
Posté par Nicolas Legrand (site web personnel) . Évalué à 10.
[^] # Re: QQs détails
Posté par Jean-Max Reymond (site web personnel) . Évalué à 1.
[^] # Re: QQs détails
Posté par gaston . Évalué à 1.
dans tout les cas ca m'intéresse, si ce n'est pas moi qui en bénéficierai directement c'est un autre membre du projet qui s'en servira. Si il ne vous sert plus...
Landry
[^] # Re: QQs détails
Posté par Miod in the middle . Évalué à 3.
[^] # Re: QQs détails
Posté par windu.2b . Évalué à 2.
Les petits enfants, c'est bon que si on les fait au barbecue...
# «Builder» ?
Posté par psychoslave__ (site web personnel) . Évalué à 9.
[^] # Re: «Builder» ?
Posté par ahuillet (site web personnel) . Évalué à 3.
"Compiler" à la rigueur, mais "construire" n'est pas une traduction sérieuse.
Traduire n'est intéressant que si le résultat est aussi compréhensible que l'original.
[^] # Re: «Builder» ?
Posté par suJeSelS . Évalué à 4.
# don
Posté par Anonyme . Évalué à 10.
C'est donc bien normal de rendre à des projets qui contribue à me faire vivre.
# Les entreprises payent ?
Posté par windu.2b . Évalué à 8.
Je pense notamment à celles qui utilisent voire commercialisent des logiciels comme OpenSSH...
Peut-être y aurait-il une campagne à faire à ce sujet, sur le thème : "vous appréciez OpenSSH ? Contribuez pour continuer à le voir évoluer"
[^] # Re: Les entreprises payent ?
Posté par Gauthier Libéral . Évalué à 2.
Théo de Raadt avait même avancé que si une faille de sécurité quelconque était détectée dans le projet OpenSSH, il ne préviendrait pas Sun pour son clone SunSSH qui aurait donc la même faille.
Par contre la fondation Mozilla n'a pas hésité à aider le projet en 2006 :) Qu'est-ce qu'on ferait sans elle ? (Source: http://osnews.com/story/14221 ).
[^] # Re: Les entreprises payent ?
Posté par Anonyme . Évalué à 1.
Je crois que le libre ne communique pas assez et que souvent les décisionnaires ignorent l'importance des outils libres utilisés dans leur SI.
J'ai bien essayé d'en parler quelques fois à des employeurs qui me demandaient de monter des plate-formes 100% libres... ou plutôt gratuites.
C'est tout ce qui les intéresse et malheureusement mes suggestions ont toujours été éludées ou pas prises au sérieux.
Pour ma part, ce type de comportement me révulse. C'est un manque de respect, voire de la malhonnêteté...
J'ai souvent envie de leur dire de se débrouiller avec des logiciels propriétaires qu'on rigole, mais à part ça (et me faire virer) que faire ?
[^] # Re: Les entreprises payent ?
Posté par nonas . Évalué à 8.
[^] # Re: Les entreprises payent ?
Posté par Anonyme . Évalué à 3.
Mais c'est quand même pas l'idéal :
- cela n'améliore en rien la prise de conscience des managers
- une fois que les solutions sont "posées", ce n'est plus moi qui la fait vivre : le minimum serait un versement régulier, chaque année par exe.
[^] # Re: Les entreprises payent ?
Posté par Zenitram (site web personnel) . Évalué à 10.
Respect, OK (et encore : je respecte 100% de leur positions en ne payant rien du tout, c'est dans l'esprit de la BSD).
Mais dit-moi, pourquoi malhonnêteté? Le contrat est respecté, sans même de bidouille, c'est les développeurs qui ont décidé d'eux-même du contrat.
Ne pas payer un produit qu'on t'offre est 100% honnête, 0% malhonnête... Ne mélangeons pas les termes!
Si les développeurs trouvent que la licence ne convient pas, ils peuvent la changer.
Le libre a beaucoup d'intégristes, y compris des gens qui accusent les autres de ne pas contribuer/payer alors qu'ils ont explicitement dit que le libre c'est justement la liberté de faire ou ne pas faire ce genre de chose, la malhonnêteté et le manque de respect est de mon point de vue du côté des gens qui diffusent sous une licence (le "contrat") et qui ensuite se plaignent que les gens ne fassent pas plus que le "contrat". Ce n'est peut-être pas sympa, mais pas ici de question de non respect (l'idée du contrat est respecté) ni de malhonnêteté (le contrat est textuellement respecté)
[^] # Re: Les entreprises payent ?
Posté par Anonyme . Évalué à 3.
Mais je voulais plutôt parler de malhonnêteté morale que de juridique.
J'estime que quand on a les moyens financiers, et la conscience du travail des autres et d'en profiter, alors on doit faire un geste même si on est libre de ne pas le faire.
Enfin, c'est une question de conscience...
[^] # Re: Les entreprises payent ?
Posté par Vanhu . Évalué à 0.
En pratique, n'oublions pas non plus que certaines sociétés contribuent aussi d'autres facons, comme par exemple le don direct de matériel, ou le report de fixes, développements, etc... aux projets, y compris quand il s'agit de projets sous licence BSD (parceque bon, se vanter qu'on contribue à un soft sous GPL, alors qu'on ne fait que se conformer à la licence.....).
Et généralement, au moins pour la partie "report de code", l'aspect "bonne conscience" et moralité est peu/pas évoqué pour obtenir un Ok de la direction......
[^] # Re: Les entreprises payent ?
Posté par ouin . Évalué à 3.
C'est difficile à dire. OpenBSD recense les différentes personnes (morales ou physiques) qui ont donné au projet: http://www.openbsd.org/donations.html
On y trouve quelques grandes sociétés (Ernst & Young, Compaq, Tekram) mais comme il est possible de demander à ne pas apparaitre sur cette page, c'est un peu compliqué de dire qui donne réellement...
>Je pense notamment à celles qui utilisent voire commercialisent des logiciels comme OpenSSH...
Theo de Raadt avait répondu à une interview sur OSNews: http://www.linux.com/articles/53004
Le dernier paragraphe est assez explicite. (Pour les anglophobes, Tristan Nitot avait traduit le paragraphe correspondant sur son site perso: http://standblog.org/blog/post/2006/04/05/93114733-mozilla-f(...) )
>Peut-être y aurait-il une campagne à faire à ce sujet, sur le thème : "vous appréciez OpenSSH ? Contribuez pour continuer à le voir évoluer"
Des annonces de ce genre sont faites régulièrement sur les listes de diffusion ou sur des sites comme undeadly ( http://www.undeadly.org ).
Il me semble que le don de la fondation Mozilla avait été fait suite à une de ces annonces...
[^] # Re: Les entreprises payent ?
Posté par Mr Kapouik (site web personnel) . Évalué à 2.
[^] # Re: Les entreprises payent ?
Posté par chl (site web personnel) . Évalué à 10.
[^] # Re: Les entreprises payent ?
Posté par ß ß . Évalué à 3.
Theo via undeadly.org avait poussé sa gueulante contre toutes les entreprises qui utilise OpenSSH, OpenSSL, OpenBGP et autre sans jamais reverser un centime.
Là il y a vraiment quelque chose que j'ai du mal à comprendre.
Le principe du Libre, c'est de pouvoir utiliser des logiciels sans restrictions. C'est garanti par les 4 libertés fondamentales du Logiciel Libre (ou l'une des 10 clauses de l'Open Source selon l'OSI).
À partir du moment où on a décidé de faire progresser l'humanité (et c'est comme ça que je considère personnellement le Logiciel Libre), on joue le jeu.
Je comprends l'action des mecs de netfilter et de busybox qui attaquent les entreprises qui ne jouent pas le jeu de la GPL, parce que ça ne participe pas à l'augmentation de la connaissance et à la diffusion des idées. Mais ils ne se plaignent pas, à ma connaissance, du manque de retour financier.
Ici, c'est encore pire. Souvent les adeptes de la BSD reprochent aux licences copyleftés d'être trop restrictives et pas assez libre. Par contre d'un autre côté, s'ils ne demandent pas de retour de code, ils demandent un retour financier ?
Vraiment, je ne suis pas convaincu là.
[^] # Re: Les entreprises payent ?
Posté par Metzgermeister . Évalué à 4.
C'est sûr que la licence BSD est un choix dissuasif pour les entreprises, qui ne voudraient probablement pas que leur R&D serve et soit reprise par leurs concurrents, sans avoir eux aussi à avoir l'obligation légale de faire de jouer le jeu.
[^] # Re: Les entreprises payent ?
Posté par Zenitram (site web personnel) . Évalué à 10.
Mais pourquoi serais-tu désespéré? Tu dis au gens "servez-vous" et ils se servent, et tu n'es pas content?
Faut choisir et assumer ensuite! Si tu es désespéré, tu change de licence, et c'est réglé. Si tu ne le fais pas, c'est que tu considère que la règle que tu donnes est la bonne (c'est toi qui l'a donne!).
Non, désolé, on n'a pas le droit d'être désespéré quand c'est nous-même qui donnons les règles du jeu et que les gens en face la respecte.
Il est légitime d'être désespéré si quelqu'un se fait du fric en violant la licence, il est illégitime d'être désespéré si quelqu'un se fait du fric en respectant la licence
[^] # Re: Les entreprises payent ?
Posté par Metzgermeister . Évalué à 2.
Les contraintes de la GPL sont d'ordre juridique, celles de la BSD d'ordre moral. Effectivement, on peut respecter la BSD et les valeurs qu'elle prône à la lettre, sans rien donner en échange, c'est le contrat de base. Après, c'est une question de « conscience » : tu te fais 1 M€ grâce à OpenSSH, tu peux bien refiler 10 k€ à ceux qui ont permis ça, non ? Personnellement, après avoir utilisé pendant un moment OpenBSD 4.4 avec une ISO gravée, j'ai acheté la version « boîte », non pas pour les stickers ou le joli boîtier, mais simplement pour redonner un peu d'argent en retour. À quoi va servir l'argent ? À permettre à d'autres d'avoir OpenBSD grâce à la bande passante ou aux serveurs, permettre le développement de nouveaux drivers grâce au matériel acheté, etc.
Et les développeurs d'OpenBSD assument pleinement leurs choix, je pense qu'ils préfèrent largement cette situation à une situation où ils devraient sacrifier leur liberté.
[^] # Re: Les entreprises payent ?
Posté par Zenitram (site web personnel) . Évalué à 4.
Ah OK, on n'a pas du tout la même vision.
Moi je vois plutôt ça comme ça : je donnes quelque chose à quelqu'un sans rien demander, en échange on me dit merci ou rien, et après je dis "eh connard je te l'ai donné, mais j'attendais du fric en retour, c'était pas vraiment donné en fait, j'attendais quelque chose de ta part".
Le "connard" tu le places sur celui qui reçoit, je le place sur celui qui donne sans donner dans l'esprit d'une donation.
Si pour toi ne pas donner d'argent à quelqu'un qui te donnes quelque chose est insulter les gens, nous avons une divergence de point de vue à la base, sans même parler du libre. Ne me donnes jamais quelque chose, je douterai que tu veuilles quelque chose en retour...
[^] # Re: Les entreprises payent ?
Posté par Farfouille . Évalué à 7.
En gros, contrat moral non respecté, même si le contrat juridique l'est, et comportement parasite stupide contre l'intérêt commun bien compris.
[^] # Re: Les entreprises payent ?
Posté par ErrTu . Évalué à 3.
Il est important de le rappeler de temps en temps si les gens veulent que le projet continue (et qu'ils ne l'oublient pas).
[^] # Re: Les entreprises payent ?
Posté par ß ß . Évalué à 8.
C'est du même ordre que lorsque tu donnes à quelqu'un quelque chose sans rien demander en échange et qu'on te dit « merci connard ». Je ne sais pas toi, mais moi j'aurais les boules.
Non je ne suis pas d'accord.Personne n'a insulté personne. Ici ce serait plutôt comme un stand où tu proposerait des trucs gratuit et quand tu reviens, tu te plains par ce que personne n'a laissé un mot de remerciement.
[^] # Re: Les entreprises payent ?
Posté par Metzgermeister . Évalué à 4.
[^] # Re: Les entreprises payent ?
Posté par IsNotGood . Évalué à 5.
Quoi ?!?!!
Une licence avec des contraintes "morales" !?
La BSD convient très bien à la "morale" de MS, la GPL non. Quelle conclusion tu tires ?
Le problème d'OpenBSD est simplement qu'il y a peu d'utilisateurs. Certes il y a quelques trucs très utilisés qui viennent d'OpenBSD. Par exemple OpenSSH/OpenSSL. Des entreprises sont prêtes à payer pour ça. Mais elles ne veulent pas payer pour tout un OS qu'elle n'utilise pas.
On peut dire que la licence n'y est pas pour rien.
La BSD est "individualiste". Si tu obtiens les sources, t'es le roi, tu n'es pas obligé de fournir les sources si tu les modifies, tu peux bourrer le bousin de brevet afin d'en avoir un usage exclusif, mettre une EULA contraingnant, etc. Les autres vont te voir comme un "opportuniste".
La GPL, dans l'esprit et la lettre, n'est pas comme la BSD. Toute contribution profite à tout le monde car elle doit être partagée. Personne ne peut avoir un avantage exclusif en utilisant la GPL. Il n'y aura donc pas de "guerre" pour obtenir un avantage exclusif. Le nouveau venu n'est pas une "menace" qui va piller ton boulot. Ça offre un espace où les entreprises peuvent collaborer en paix au lieux, comme dans le logiciel proprio, se tirer la bourre. Donc elles y viennent et en nombre. L'avantage sur la concurrence elle le chercherons dans le service.
[^] # Re: Les entreprises payent ?
Posté par Metzgermeister . Évalué à 5.
La contrainte « morale » de la BSD provient simplement du fait qu'il y a des gens qui vont se sentir obligés de contribuer à un projet en retour s'ils en profitent en premier lieu. On pourrait même dire que finalement, les gens intéressés par le libre vont contribuer à un projet, qu'il soit BSD ou GPL, et que donc les gens qui à la base étaient intéressés par le libre ne feront pas de leurs modifications des logiciels propriétaires. Évidemment, la GPL « protège » plus les développeurs étant donné qu'il y a derrière un texte juridique qui pose les bases des droits et devoirs de chacun, mais la BSD propose aux gens de réfléchir un peu plus à la licence qu'ils vont utiliser, puisque la possibilité de changer la licence est offerte.
Bon après, que MS reprenne ou ait repris du travail sous BSD ne me gêne absolument pas : au contraire, un excellent code sera diffusé à l'échelle mondiale, pour le bien commun. Bref, MS m'ennuie quand ils font leurs coups fourrés, pas quand ils reprennent du travail réalisé sous BSD, même si ça serait franchement cool qu'ils donnent un peu de leur blé aux gens qui rendent leurs bénéfices possibles.
Le problème d'OpenBSD est simplement qu'il y a peu d'utilisateurs.
Le problème d'OpenBSD, c'est que presque aucune entreprise n'a de monde qui bosse dessus à plein temps. C'est peut-être lié au manque d'utilisateurs, mais OpenBSD, c'est OpenSSH qui est très critique dans énormément d'entreprises. C'est peut-être aussi lié à la licence en effet, et ça prouverait que les entreprises n'ont en réalité aucune envie de collaborer avec leur concurrents, et qu'elles ne le font que contraintes et forcées.
Par exemple OpenSSH/OpenSSL.
Ouais heu, OpenSSL est pas un produit d'OpenBSD, ta langue a fourché. :)
La BSD est "individualiste".
Je ne suis absolument pas d'accord. La BSD permet à tout le monde de prendre le code source, et est donc bien plus ouverte que la GPL, qui se ferme (et je ne dis pas que c'est un tort !) aux entreprises qui ne veulent pas redistribuer le code.
Toute contribution profite à tout le monde car elle doit être partagée.
Naturellement, cela dit, quelqu'un qui contribue en BSD en fait profiter tout le monde aussi. Histoire de jouer sur les mots, toute contribution faite à OpenBSD étant nécessairement sous licence BSD ou ISC, elle profite donc à tout le monde. Le code repris par les entreprises, amélioré et non publié n'est pas une contribution. Mais ici encore, la même situation est théoriquement impossible avec la GPL.
Le nouveau venu n'est pas une "menace" qui va piller ton boulot.
Non, mais sous OpenBSD, c'est pareil. Celui qui vient, qui discute sur les listes de diffusion pour parler d'améliorations a de fortes chances de redistribuer son code sous licence BSD !
Ça offre un espace où les entreprises peuvent collaborer en paix au lieux
Honnêtement, je ne crois pas à un monde où les entreprises collaborent sur tout, sauf le service. Je pense qu'il existe des entreprises qui prennent du code, BSD ou GPL, qui une fois obfusqué est méconnaissable dans le binaire, et ces entreprises ne font de redistribution de code qu'une fois contraintes et menacées d'un procès. Je pense que la GPL ne permet pas de dire que toutes les contributions sont volontaires, puisqu'elles sont forcées. Cela étant, je n'ai aucune hostilité envers les gens qui développent sous GPL, et serais heureux de pouvoir les aider, sous GPL.
[^] # Re: Les entreprises payent ?
Posté par Sytoka Modon (site web personnel) . Évalué à 0.
> dessus à plein temps. C'est peut-être lié au manque d'utilisateurs, mais OpenBSD, c'est
> OpenSSH qui est très critique dans énormément d'entreprises
Justement, le problème n'est-il pas là.
Je m'explique après avoir fait un tour sur le site d'OpenSSH. OpenSSH est très lié, peu être trop lié a OpenBSD.
Pourquoi une boite va t'elle faire un don a OpenBSD alors qu'elle ne l'utilise pas et que ce n'est pas dans ses projets. Personnellement, je me suis posé la question mais a ce moment, il était hors de question d'avoir un port Xen d'OpenBSD.
Or, sur le site d'OpenSSH, il est bien spécifié que les dons doivent être donné a OpenBSD et que tout est mélangé car le développement est fait par la même équipe. Je cite
"
Donations are handled via OpenBSD, since OpenBSD is the environment and community where OpenSSH is developed
"
Pas étonnant alors que peu de monde développe OpenSSH si c'est a ces conditions...
Bref, j'adore OpenSSH que j'utilise tous les jours mais je ne suis pas spécialement intéressé par OpenBSD ni les déclarations de son leader.
Qui ne se souvient de la faille introduite par debian l'an passé... et du patch debian avec le blacklisting de clef. une fonctionalité que debian a rajouté. On aime ou on n'aime pas mais debian a proposé une solution au mal qu'elle a fait. Et bien, avec une petite recherche sous Google chez nos amis d'OpenSSH sur le sujet avec tout simplement
debian site:openssh.org
Le résultat est rien sur ce sujet. Rien, rien, rien....
Une faille énorme dans OpenSSH qui a touché des milliers de machines de plusieurs distributions Linux et rien, rien, rien sur leur site /a priori/.
Ben moi, je me dis que le développement d'OpenSSH n'est pas bien communautaire et beaucoup trop lié a celui d'OpenBSD.
Du coup, je donne de argent a d'autre projet libre ... ma bourse n'est pas non plus infini.
[^] # Re: Les entreprises payent ?
Posté par Romeo . Évalué à 1.
Tu parles de la faille, que debian à introduite par erreur ?
[^] # Re: Les entreprises payent ?
Posté par Sytoka Modon (site web personnel) . Évalué à 3.
[^] # Re: Les entreprises payent ?
Posté par rpointel . Évalué à 5.
Je ne vois pas en quoi OpenSSH aurait à parler d'une erreur commise par Debian sur un de leur paquet...
[^] # Re: Les entreprises payent ?
Posté par imalip . Évalué à 2.
[^] # Re: Les entreprises payent ?
Posté par psychoslave__ (site web personnel) . Évalué à 2.
[^] # Re: Les entreprises payent ?
Posté par rpointel . Évalué à 2.
Comme tu le dis dans le commentaire, c'est l'OpenSSL de Debian kététoupouri ^^
C'est à Debian d'informer les admins, pas à d'autres.
Et également aux sysadmin de se renseigner également, la veille techno fait parti de leur métier ;)
[^] # Re: Les entreprises payent ?
Posté par imalip . Évalué à 3.
Quel interet pour OpenSSH et ses utilisateurs de continuer a fournir un soft sans blacklist du jeu de clefs corrompues ?
[^] # Re: Les entreprises payent ?
Posté par lolop (site web personnel) . Évalué à 0.
Les autres n'en ont rien à faire...
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
[^] # Re: Les entreprises payent ?
Posté par imalip . Évalué à 3.
[^] # Re: Les entreprises payent ?
Posté par Sytoka Modon (site web personnel) . Évalué à 3.
Moi, si Red-Hat avait fait la même bévue, je serais super content que debian intègre le patch Red-Hat qui me mette à l'abris. Un des points faibles des PKI (et des certificats X509) est la bonne (ou mauvaise) gestion des listes de révocation, notament par TOUS les clients potentiels ! Le système des blacklists mis en place par debian pour OpenSSH, c'est un peu le même esprit. Je regarde à chaque nouvelle version d'OpenSSH mais je suis surpris que ce path ne remonte pas.
Sinon, j'ai comme l'impression que certain se frotte les mains de la bavure debian comme s'ils étaient content que debian se soit lamentablement planté. A vrai dire, je trouve cela désolant mais bon, a chacun ses petits plaisirs.
Allez, pour le plaisir, une dernière petite tirade...
Un autre gros bogue en 2008 a été la faille dans le protocole DNS : "DNS Cache Poisoning Issue". Je suis allé voir du coté d'ISC avec Bind. Leur site en parle
https://www.isc.org/node/387
D'ailleurs, le message commence par des remerciements.
Certe, le bogue n'est pas du même type (même origine) mais il touche tous les serveurs de noms et l'ISC ne le cache pas, il est même bien en évidence sur leur site bien que ni l'ISC ni Bind n'ont le moindre tord dans l'affaire.
Encore une fois, le bogue debian touche TOUS les serveurs SSH ! Même les autres serveurs qu'OpenSSH !
[^] # Re: Les entreprises payent ?
Posté par Romeo . Évalué à 1.
autant comparer la faille de chez debian à la faille dns est mauvaise.
La faille dns est bien présente dans le bind officiel. La faille provoquée par debian pour openssh (entre autres) n'est présente que pour openssh de debian.
[^] # Re: Les entreprises payent ?
Posté par Sytoka Modon (site web personnel) . Évalué à 7.
La faille debian n'est plus dans le serveur debian, elle a été corrigé du jour ou elle a été annoncé. Je pense qu'il n'y a plus beaucoup de serveur pourris qui tournent.
Mais des clefs... combien en reste-t-il qui trainent sur le net ?
Les seuls serveurs protégés sont justement ceux de debian. Quelle ironie !
Ton serveur sous OpenBSD, si un de tes utilisateurs a une clef debian de l'époque ne vaut plus rien, c'est une passoire... Mes serveurs debian ne risquent plus rien !
La faille debian est finalement assez proche de la faille DNS, elle touche tous les serveurs non paché qui ne sont pas capable de blacklister (révoquer) de mauvaise clef. Les clefs SSH n'ayant pas de date limite, la faille peut durer très très longtemps.
C'est pour cela qu'il faut patché tous les serveurs SSH, qu'ils soient debian ou non. Car le protocole SSH a oublié qu'il pouvait y avoir des clefs pourris. C'est une sorte de faille cela. Et les clefs n'ont pas de date limite, c'est encore une espèce de faille...
Avec SSL et les certificats X509, ce cas a été prévu avec les listes de révocation très mal implantés par les clients -> faille des clients.
SSH n'a aucune protection contre cela. Faille du serveur ou du protocole ?
J'ai presque envie de dire, cela aurait du arrivé un jour. C'est debian qui a fait la faute mais ce n'est pas normal que SSH soit aussi sensible a un bogue pareil. Un mec distribue des millions de clefs pourris dans la nature et tu n'as au niveau de ton serveur sous OpenBSD (ou autre) aucun moyen de lutter contre ses clefs si un de tes utilisateurs en a une ?
Si ce n'est pas une faille dans le protocole, c'est quoi ?
[^] # Re: Les entreprises payent ?
Posté par ouin . Évalué à 4.
Fait le parallèle avec des mots de passe.
Comme un mot de passe, un certificat peut être faible.
Comme un mot de passe, un certificat peut être compromis.
Pour les mots de passe, on peut facilement mettre en place des règles (longueur, complexité, etc).
Pour un certificat, la moindre des choses est de ne pas permettre à n'importe qui de les placer sur une machine.
Dans le cas précis d'OpenSSH, il est possible d'enlever la possibilité de se connecter avec des clefs (voir la page de manuel de sshd_config), il est possible d'attribuer une clef à un utilisateur (man sshd_config et man ssh-keygen) et de lui interdire de la modifier (man chmod et man chown).
C'est aux admin systèmes de faire ces choix et de mettre en place les règles qui vont bien.
Avec SSL et les certificats X509, ce cas a été prévu avec les listes de révocation très mal implantés par les clients -> faille des clients.
SSH n'a aucune protection contre cela. Faille du serveur ou du protocole ?
La faille ce n'est pas qu'OpenSSH accepte un certificat généré par Debian, mais qu'un administrateur laisser des personnes placer des clefs sur une machine.
En particulier si ces personnes n'ont pas les compétences et le sens des responsabilités suffisants pour maintenir ces clefs.
[^] # Re: Les entreprises payent ?
Posté par Psychofox (Mastodon) . Évalué à 2.
dans ton sshd_config, tu as une option AuthorizedKeysFile qui te permet de définir où sont les clefs des utilisateurs. Tu n'as qu'à la paramétrer pour empêcher un user de mettre sa clef dans son home.
[^] # Re: Les entreprises payent ?
Posté par imalip . Évalué à 2.
A moins que tu generes toi-meme les clefs des utilisateurs a qui tu veux fournir un acces distant a ta machine, auquel cas effectivement il n'y a pas de risque.
[^] # Re: Les entreprises payent ?
Posté par Psychofox (Mastodon) . Évalué à 2.
Bien sur qu'il faut les vérifier. Mais il n'y a aucune raison que l'outil pour le faire soit fourni et/ou publié par openssh. La faille implique tous les projets utilisant openssl.
Il existe moultes outils de vérification de ces clefs, à l'admin de prendre l'outil qui lui convient (debian fournit des outils, metasploit a des jeux de clefs, etc...). Tout bon admin doit en avoir un dans sa trousse à outil.
[^] # Re: Les entreprises payent ?
Posté par Sytoka Modon (site web personnel) . Évalué à 2.
> et/ou publié par openssh.
Deux phrases en contracdiction.
Si, comme tu le dis, il est évident qu'il faille vérifier les clefs utilisé par ssh, je ne vois pas pourquoi openssh ne fournit pas un outil ! Evidement, cet outil peut utiliser des outils annexe comme ssh utilise ssl...
Cet outil ssh aurait pour fonction d'adapter l'outil de vérification 'ssl' à la spécificité ssh. C'est exactement ce que fait l'outil ssh-vulnkey. Il n'y a aucune raison objective, sauf la mauvaise fois il me semble, a ne pas diffuser ssh-vulnkey avec openssh. Ou est le problème ?
En cas de mauvaise fois, il n'y a la aucune escuse sur un site diffussant le numéro 1 des serveurs ssh a ne pas indiquer ou trouver des outils pour vérifier l'intégrité des clefs puisque nous avons vu que le protocole ssh avait une faiblesse au niveau de la gestion des clefs (pas de date limite, pas de système de révocation... comme dans un système X509).
Bref, il y a des mauvaises clefs dans la nature, en très grand nombre certainement encore. C'est un fait. La responsabilité est établie et reconnue. Je vois que 1 an après, malgré cela, le problème me semble mal cerné par pas mal de gens, tant utilisateurs que par les développeurs amonts (packageur de distribution compris).
Question : sur une base red-hat, suse, mandriva, BSD... a-t'on auourd'hui un outil pour vérifier l'intégrité des clefs lorsqu'on installe ssh ? Pas forcément dans le paquetage openssh mais dans les dépendances de ce paquet (idem pour les ports BSD). Je ne connais pas la response à cette question mais je l'espère positive et dans ce cas, je retire ma phrase sur les développeurs amont et je m'en escuse platement.
[^] # Re: Les entreprises payent ?
Posté par lolop (site web personnel) . Évalué à 2.
Question bête, est-ce qu'il y a un moyen réellement fiable de détecter qu'une clé est foireuse (hormis la date de génération) ?
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
[^] # Re: Les entreprises payent ?
Posté par Sytoka Modon (site web personnel) . Évalué à 2.
Il y a les programmes ssh-vulnkey et dowkd.pl
La probabilité d'avoir des clef autres que dans ses listes est asez faible. Pas grand monde devait faire des clef plus grande que 4096 si ce n'est des spécialistes mais ceux-la on déjà refait leur clef.
[^] # Re: Les entreprises payent ?
Posté par Sytoka Modon (site web personnel) . Évalué à 3.
http://wiki.debian.org/SSLkeys
[^] # Re: Les entreprises payent ?
Posté par chl (site web personnel) . Évalué à 5.
1/ La faille dont tu parles vient d'OpenSSL, pas d'OpenSSH.
2/ OpenSSL n'appartient pas au projet OpenBSD.
--> Aucune raison d'avoir le message que tu espères sur le site d'openssh.org.
[^] # Re: Les entreprises payent ?
Posté par Sytoka Modon (site web personnel) . Évalué à 1.
- Oui c'est une erreur debian et non de l'équipe d'OpenSSH. Personne n'a dis que c'était une erreur d'OpenSSH
- Oui, c'est un bogue introduit dans OpenSSL qui a surtout touché OpenSSH (mais pas seulement, aussi les clefs réalisés pour des sites en https, aussi pour cfengine...)
Cependant, le programme le plus touché et le plus sensible a été ssh !
Ce n'est pas un petit bogue, c'est quelque chose d'exceptionnel qui n'arrive on l'espère qu'une fois par décennie. C'est un des évênements majeur de 2008, peut être une des rares choses qu'on se souviendra dans 10 ans : le bogue debian dans OpenSSH (même si c'est dans OpenSSL).
Moi, si je fais un programme a ce point sensible et une distribution majeure me fait un bogue pareil qui touche autant de gens, et bien je pense que la moindre des choses que je ferais serait d'en parler clairement et de dire que le problème est résolu et comment.
Ne pas mettre cette information, faire comme si elle n'a pas exister, même si l'équipe d'OpenSSH n'a rien a se reprocher, cela me parait grave d'un point de vu communication. En tout cas, a moi, cela ne me viendrait pas à l'idée d'ignorer une telle bavure.
OpenSSH vit aussi grace aux distributions GNU/Linux. Demander des remerciements et des dons, c'est bien. Mais il faut aussi renvoyer l'ascensseur. Les distributions aident aussi à diffuser et elle font globalement du super boulot, même si elles sont à base Linux et non de BSD. En plus debian est la seule distribution Linux (à ma connaissance) a vouloir faire un port BSD...
Alors, participer à l'information d'une telle bavue pour éviter que des milliers de gens ne se fassent pirater par ssh, cela me semble faire partie intégrante de l'esprit communautaire libre. Ou est la solidarité, ou est l'entraide ici ?
Pour moi, cette ignorance de la part d'OpenSSH me donne une impression de mépris envers debian et par la même envers toutes les distributions Linux.
Encore une fois, on ne parle pas d'un non évênement car je fais le pari que ce sera l'évênement top 1 de l'année 2008 plus tard. Ce sera même un cas d'école très certainement cité dans plein de cursus universitaire...
[^] # Re: Les entreprises payent ?
Posté par Romeo . Évalué à 3.
Qu'est ce que tu veux qu'ils mettent :
"attention un "dev" de chez debian a monstrueusement merdé, pensez à vous mettre à jour ?"
Soit ils ne mettent rien (logique, ça ne les concerne pas), soit ils mettent quelques choses et on va leur reprocher de se foutre de la gueule de debian.
De plus, franchement, je ne crois pas que beaucoup d'utilisateur d'openssh aillent sur le site web, 90% des gens vont passer par le gestionnaire de paquet de leur os pour faire l'install/mise à jour.
> En plus debian est la seule distribution Linux (à ma connaissance) a vouloir faire un port BSD...
Je vois pas l'interet pour les BSD ...
> Encore une fois, on ne parle pas d'un non évênement car je fais le pari que ce sera l'évênement top 1 de l'année 2008 plus tard. Ce sera même un cas d'école très certainement cité dans plein de cursus universitaire...
Ouai enfin y a aussi eu le trou de sécu dans linux permettant l'élévation de privilège grace au module ATM.
Il y a aussi la faille DNS.
Récemment un mec à péter pleins de routeurs BGP Cisco, foutant la zone sur tout internet.
Dans 10 ans les gens s'en foutront royalement.
[^] # Re: Les entreprises payent ?
Posté par Sytoka Modon (site web personnel) . Évalué à 1.
La, la mise a jour n'a pas mis à jour tes clefs... Il y a eu un boulot de fou pour refaire les clefs, les revalider, voire que plein de script ne marchait plus... J'ai même lu l'histoire d'une personne qui a perdus la main sur son cluster de 200 machines, et je pense que ce n'est pas le seul !
Ton trous de sécu dans le noyau Linux, tout le monde s'en fout entre () et cela n'a pas du tout les mêmes conséquences.
Moi je te dis que dans 10 ans, on ne retiendra que "le bogue debian dans Openssh" et rien de la routine que tu évoques dans ton post et que je recois tous les jours dans ma boite mail avec les alertes du CERT.
[^] # Re: Les entreprises payent ?
Posté par ErrTu . Évalué à 1.
OpenSSH vit grâce aux développeurs d'OpenBSD. Les distributions GNU/Linux ne font qu'empaqueter la version portable d'OpenSSH.
La faille d'OpenSSL dans Debian est dû à une erreur du mainteneur du paquet d'OpenSSL . Ça n'a absolument rien à voir avec OpenSSH (mis à part que la bibliothèque est utilisé par ce programme) donc les développeurs d'OpenBSD n'ont absolument aucune raison de communiquer là-dessus. C'est à Debian de le faire.
[^] # Re: Les entreprises payent ?
Posté par Sytoka Modon (site web personnel) . Évalué à 2.
Je met ma clef réalisé sur un serveur debian sur une machine de l'IDRIS et je me connecte dessus... La machine de l'IDRIS est une IBM sous AIX... (Tu remplace IDRIS, IBM et AIX par ce que tu veux)
Bilan : n'importe quel petit malin rentre dans le système IBM qui n'a rien a voir avec debian !
La faille debian touche TOUS les serveurs SSH, même ceux qui n'ont rien a voir avec debian. Debian peut communiquer et l'a fait. Je ne vois pas en quoi il aurait été mal qu'OpenSSH commnunique la dessus. Même les machines sous OpenBSD sont touchés.
Vous pensez peut être que n'utilisant pas debian, vous êtes à l'abris du problème. mais ce n'est pas vrai. Qui vous dis qu'un utilisateur de vos systèmes n'a pas mis une clef foireuse sur vos systèmes ? Et vous la détectée comment la clef foireuse ?
C'est le principe même d'OpenSSH avec ses clefs qui a été mis a mal. La solidarité veut que tout le monde donne un coup de main pour éradiquer le problème le plus vite possible.
Une petite phrase, un lien... Ca leur aurait couté quoi à l'équipe d'OpenSSH ?
[^] # Re: Les entreprises payent ?
Posté par Sytoka Modon (site web personnel) . Évalué à 1.
> qu'empaqueter la version portable d'OpenSSH.
Tu sous estimes le boulot des distributions. Sans elles, OpenSSH est mort, au moins virtuellement.
Imagines un instant un autre programme qui remplace OpenSSH et que les distributions majeures n'installent plus OpenSSH ? Crois-tu alors qu'OpenSSH vit encore ? Non, du jour ou il y aura un remplaçant à OpenSSH sous les distributions Linux, de ce jour là, il sera mort.
Un exemple historique. Le programme xv est sortis des distributions il y a une dizaine d'année et pourtant on l'utilisais tous avant. Qui connait xv de nos jours à par les anciens croutons comme moi !
[^] # Re: Les entreprises payent ?
Posté par ErrTu . Évalué à 2.
Non, c'est sans OpenBSD qu'OpenSSH est mort. Et encore, le code source étant sous licence ISC/BSD, je vois mal comment un programme de cette qualité peut mourir.
Imagines un instant un autre programme qui remplace OpenSSH et que les distributions majeures n'installent plus OpenSSH ? Crois-tu alors qu'OpenSSH vit encore ?
Parfaitement, il vivra encore, tout comme de nombreux programme vive à l'intérieur de l'arbre des sources d'OpenBSD (apache 1 est le premier exemple qui me vient). Même si un challenger arrive pour le remplacer, tu peux être sûr qu'il sera toujours utilisé et maintenu par les gens d'OpenBSD quoi qu'il arrive.
Au passage xv ni libre ni maintenu, ce qui explique bien des choses.
[^] # Re: Les entreprises payent ?
Posté par Romeo . Évalué à 1.
Si un autre programme meilleurs sort tant mieux, mais les distrib ni seront n'ont plus pour rien. Elles ne feront toujours que packager.
[^] # Re: Les entreprises payent ?
Posté par Sytoka Modon (site web personnel) . Évalué à 1.
Tu oublies complètement le rôle de publicité, de la diffusion. Si Firefox vit si bien aujourd'hui, c'est que la fondation mozilla a fait un énorme boulot de publicité.
Le fait de distribuer un logiciel, d'en assurer la maintenace sécurité (même si dans le cas présent, il y a eu une bévue), le fait de le proposer aux administrateurs et aux utilisateurs pour une utilisation quotidienne, pour moi, cela fait aussi partie de la vie d'un projet.
Donc, pour moi, les distributions ne font pas que "packager", par la même une relation se forme avec le développement amont et elles participent ainsi fortement à la vie des projets. Tu oublies aussi que debian supporte un grand nombre d'architecture et que ce simple fait permet de remonter plein de problème dans énormément de programme. On ne parle pas ici d'une petite distribution faite dans son coin. Debian est un énorme projet communautaire libre qui a un impact non négligeable, même si toi, tu as l'impression de n'en rien utiliser.
Un autre exemple, GNOME a été fortement aidé par les distributions au début car KDE n'étais pas packager dans bien des distributions, dont debian. Je ne suis pas sur qu'on aurait un GNOME aujourd'hui si Qt avait été dès le début libre.
Idem pour les programmes Java, je suis persuadé que le fait d'avoir du java propre dans les distributions va enfin booster tous les programmes java libre.
Encore une fois, nous n'avons pas le même sens de la communauté, de la solidarité, des remerciements... J'ai bien fait d'arrêter de te répondre hier soir.
[^] # Re: Les entreprises payent ?
Posté par 2PetitsVerres . Évalué à 9.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Les entreprises payent ?
Posté par reno . Évalué à 2.
Ceci dit le problème n'est pas tant de (dé)bugger avec valgrind (ce qui 1) part d'une bonne intention 2)est tout à fait excusable, tout le monde fait des erreurs), mais de ne pas remonter le "correctif".
Ça c'est vraiment inexcusable comme méthodologie, on ne joue pas tout seul dans son coin surtout avec des logiciels pareils et le pire c'est que je n'ai pas l'impression que le processus de dev a évolué pour autant..
[^] # Re: Les entreprises payent ?
Posté par B16F4RV4RD1N . Évalué à 5.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Les entreprises payent ?
Posté par Metzgermeister . Évalué à 2.
Je ne sais pas si c'est possible au Canada, mais j'ai cru comprendre qu'on pouvait aux États-Unis conditionner le don, et ainsi dire « ok, je vous file 50 000 € mais uniquement pour le développement d'OpenSSH ».
Ben moi, je me dis que le développement d'OpenSSH n'est pas bien communautaire et beaucoup trop lié a celui d'OpenBSD.
C'est, je dirais, un problème récurrent chez OpenBSD, le côté trop fermé (trop élitiste ?), cela dit OpenSSH est un projet majeur d'OpenBSD, et je crois que beaucoup d'argent passe aussi dans son développement. Bon puis après, rien n'empêche d'appliquer l'adage shut up and hack, je suis sûr que les développeurs seraient ravis d'appliquer des patchs venus de l'extérieur.
[^] # Re: Les entreprises payent ?
Posté par ErrTu . Évalué à 2.
[^] # Re: Les entreprises payent ?
Posté par Sytoka Modon (site web personnel) . Évalué à 2.
Le bogue est dans OpenSSL mais c'est surtout OpenSSH qui a été touché sur une partie des distributions Linux (debian et dérivée).
Quand tu as un programme sensible et réputé pour sa sécurité et qu'un de tes composants est pourris, je suis très géné qu'on ne m'en parle pas. Surtout lorsque le bogue touche principalement ton programme en particulier...
Lors du problème, ma première réacton a été d'aller voir sur le site
openssh.org
pour avoir des informations clefs, pour avoir le point de vu de l'équipe d'OpenSSH sur le bogue et la solution apporté par debian. Rien, rien, rien...
Manifestement, ce silence de l'équipe d'OpenSSH face à ce bogue UNIQUE, me met mal à l'aise mais ne vous pertube pas le moins du monde. Désolé, je dois être trop émotif.
[^] # Re: Les entreprises payent ?
Posté par Romeo . Évalué à 3.
Dans ce genre de cas j'attends une réaction de debian pas de l'upstream qui n'y ai pour rien.
[^] # Re: Les entreprises payent ?
Posté par Sytoka Modon (site web personnel) . Évalué à 3.
Assez trollé avec toi, je sais que cela ne mène nulle pars, je préfère aller voir ma sirène bien au chaud ;-)
[^] # Re: Les entreprises payent ?
Posté par Miod in the middle . Évalué à 3.
>
> openssh.org
Oui mais non, le site d'openssh c'est http://www.openssh.com/
(le domaine en .org est géré par Alex de Joode qui fournit gracieusement un miroir web et des redirections mail, mais cela est susceptible de cesser à tout moment sans préavis).
[^] # Re: Les entreprises payent ?
Posté par ouin . Évalué à 3.
Google c'est pas mal pour trouver des données sur un site web. Maintenant si tu cherches des infos sur les mauvais sites (ou sur les mauvais médias), c'est pas de la faute des gens d'OpenBSD...
Le site d'OpenBSD est un peu la vitrine du projet (je mets en gras en espérant que tout le monde saisisse bien la nuance. Sinon je suis sur que Zenitram va venir me parler des néons et des laveurs de vitre).
La plupart du contenu est statique (sauf les sources).
Les seules pages qui sont mises à jour en fonction de l'actualité sont les pages d'errata ( http://www.openbsd.org/errata.html ).
Ces pages contiennent la liste des patchs appliqués aux différentes release depuis leur publication ainsi que les éventuels effets de bords qu'ils peuvent engendre.
Donc rien à voir avec Debian et OpenSSL.
Par contre si tu t'étais intéressé au contenu du site, tu serais probablement tombé sur la page suivante: http://www.openbsd.org/mail.html
Je te site la première phrase:
Mailing lists are an important means of communication among users and developers of OpenBSD..
Si tu cherches dans les archives des différentes listes de diffusion, tu devrais tomber sur les 3 discussions suivantes
+ Debian libssl security (OpenSSH safe?)
+ More details show that someone seriously fucked up in debian. [Was: Re: Debian libssl security (OpenSSH safe?)]
+Debian libssl security (Cause???)
Comme quoi Google a beau contenir toutes les informations sur la Vie, l'Univers et Reste, si on ne sait pas l'utiliser on continuera longtemps à chercher...
[^] # Re: Les entreprises payent ?
Posté par psychoslave__ (site web personnel) . Évalué à 0.
La BSD n'est pas individualiste du tout. Ce sont les personnes qui ne veulent rien reverser en retour alors qu'elles peuvent largement se le permettre qui sont individualistes. La licence ne t'encourage pas à ne pas contribuer, elle ne t'y force simplement pas. C'est triste que le monde soit peuplé de charognards qu'il faut contraindre et forcer pour obtenir le moindre retour, mais sans cela, une licence comme la BSD serait largement suffisante pour permettre le libre.
[^] # Re: Les entreprises payent ?
Posté par tuXico . Évalué à 2.
La BSD est "individualiste". Si tu obtiens les sources, t'es le roi, tu n'es pas obligé de fournir les sources si tu les modifies, tu peux bourrer le bousin de brevet afin d'en avoir un usage exclusif, mettre une EULA contraingnant, etc.
troll spotted
https://linuxfr.org//comments/1010952.html#1010952
[^] # Re: Les entreprises payent ?
Posté par ouin . Évalué à 3.
Je vois plus ça comme un espèce de resto du coeur:
Les développeurs travaillent pour le bien de la communauté mais ils ont besoin de moyen pour cela.
Après c'est à chacun de voir:
Si tu penses que les équipes ont fait du bon boulot, si tu penses qu'ils devraient continuer et si tu as les moyens, fait un don.
Si tu ne le fais pas, à terme le projet ne survivra pas.
Il n'y a rien d'autre à rajouter.
[^] # Re: Les entreprises payent ?
Posté par Zenitram (site web personnel) . Évalué à 1.
Theo a dit (si j'en crois la traduction standblog) : "Pour notre travail sur OpenSSH, les entreprises utilisant le logiciel ne nous ont jamais donné un centime."
-> Pour les restos du coeur, c'est comme si ils disaient "Putain on vous a donné à manger quand vous étiez dans la merde, maintenant que vous avez de la thunes vous nous redonnez rien bande de méchants".
Je ne vois rien dans le style dans la communication des restos du coeur, qui demande plutôt de l'aide pour continuer sans insulter ce qui ne donnent pas.
Le contrat (légal ET moral!) des retos du coeur n'oblige personne à donner même quand ils en ont profité, et les restos ne réclament pas de ceux qu'ils ont aidé (certains sont très aisés aujourd'hui!)
Ce qui me dérange dans les propos de Theo est qu'il donne mais oublie que donner, c'est donner : on n'a rien à attendre d'un don, sinon ce n'est pas un don.
Si il n'aime pas ça, qu'il change la licence "0.01% des bénéfs que vous faites", mais ce ne sera pas libre. Il doit choisir (les restos du coeur ont choisi eux, et ne demandent rien à ce qui ont profité d'eux avant et vivent bien maintenant)
[^] # Re: Les entreprises payent ?
Posté par ouin . Évalué à 1.
Dans l'expression "comme un espèce de", quelle est le mot que tu ne comprends pas?
Si tu veux on peut faire un comparatif détaillé avec des tableaux et des cases de couleurs.
Par contre est-ce que la bouffe servie par les resto du coeur et OpenSource selon la définition que l'OSI à fait?
La projet est à but non lucratif.
Si tu aimes, que tu as les moyens et que ça t'intéresses -> tu leur donne au moins de quoi survivre.
C'est à toi de voir.
[^] # Re: Les entreprises payent ?
Posté par HSimpson . Évalué à 2.
Moi, c'est «un espèce» que je ne comprends pas.
Désolé pour le bruit, mais c'est une faute tellement courante et la perche était tellement tendue qu'il fallait que je la saisisse.
[^] # Re: Les entreprises payent ?
Posté par Gniarf . Évalué à 3.
coquinou.
[^] # Re: Les entreprises payent ?
Posté par claudex . Évalué à 7.
Je vois plus ça comme les restos du coeur qui donne leur repas et des entreprises s'en serve pour garnir leurs cantines ou pour la revendre plus cher avec deux tiges de persil en plus. En imaginant que la nourriture soit en quantité infinie¹, les restos serait quand même bien content si ces entreprises les aidaient à payer l'électricité et le loyer. Mais ce n'est pas pour ça qu'il exige que les SDF payent pour venir manger.
¹: quand on copie des données numériques, il n'y a pas de perte des données, ça ne vous rappel rien?
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Les entreprises payent ?
Posté par psychoslave__ (site web personnel) . Évalué à 4.
Bien entendu, tu n'as pas monter ton projet pour l'argent, mais quand même, ne serais-tu pas quelque peu dépité du comportement de tes anciens élèves ?
[^] # Re: Les entreprises payent ?
Posté par Zenitram (site web personnel) . Évalué à -3.
Je n'ai jamais vu d'ancien élèves filer du fric à leur ancien prof (j'en ai vu les remercier, mais jamais d'argent), ni les profs râler parce que leur éducation a construit des personnes très riches.
Theo semble donc bien seul à râler sur ce principe donc...
[^] # Re: Les entreprises payent ?
Posté par kimelto . Évalué à 3.
[^] # Re: Les entreprises payent ?
Posté par Littleboy . Évalué à 6.
Au Canada/US, c'est pas rare que les grosses universites recoivent des dons d'anciens eleves ou d'entreprises. $832.2 millions en 2006-2007 pour Stanford par exemple (non ca n'arrivera jamais en France, pas la peine d'esperer...)
[^] # Re: Les entreprises payent ?
Posté par Sytoka Modon (site web personnel) . Évalué à 1.
Avec le système que Sarko nous met en place (autonomie des universités), une partie des salaires va finir par être payés par les sommes percues a ce titre...
Puisque je suis dans ce sujet, je viens d'apprendre que les présidents d'université pourraient toucher une prime de plus de 20kE ! Notre ministre voudrait aussi englober les vice-président... Tout ceci va nous mettre le système du pognon du privé dans le public et me semble plus que malsain. Pour ceux qui pensent que 20kE, c'est peu de chose, un président touche normalement entre 2500 et 4500E par mois comme salaire.
[^] # Re: Les entreprises payent ?
Posté par vjm . Évalué à 1.
Ouais parce qu'actuellement c'est pas comme si à chaque manifestation de personnels de l'Éducation Nationale, on entendait "il faut plus de sous". Personnellement ça me choque pas que les entreprises soient plus impliquées directement (jusqu'à maintenant c'est indirect par l'impôt) dans le financement de l'éducation et de la recherche dont ils profitent.
Offtopic donc je -> []
[^] # Re: Les entreprises payent ?
Posté par herodiade . Évalué à 10.
> [...]
> si quelqu'un se fait du fric en respectant la licence
Pourquoi amener un troll licence chaque fois qu'une dépêche parle d'un projet BSD ? ce que tu dit là, tu pourrais l'appliquer à presque chaque rixe entre participants de la communauté linux (forks, mauvaises contribs, absences de contrib, ...), car on peux faire des choses plus ou moins correctes/éthiques/citoyennes en respectant la GPL, y compris v3, comme avec la BSD.
Comme pour tout les projets libres, la plupart des règles de bonnes conduites ne sont pas rédigées par des avocats, et il n'est pas forcément pertinent que ce qui serait "souhaitable" devienne "obligatoire" par le marbre d'une licence. Il n'est pas question de forcer les gens à donner des sous, encore moins de changer de licence : c'est juste un coup de gueule. TdR ne renie donc pas la licence BSD.
On a droit aux mêmes types de débats ou coups de gueules, qui sont donc indépendants des licences libres choisies, lorsqu'un développeur de Novell râle publiquement au sujet de la faible contribution d'Ubuntu/Canonical aux logiciels Linux bas niveau, ou lorsqu'un zélote de Red Hat ou de Debian dénonce sur dflp le faible engagement "upstream" d'Ubuntu : certes Canonical respecte la GPL à la lettre en faisant du blé, mais ils pourraient être de meilleurs citoyens. Ou encore : certes Oracle "fait du fric avec en respectant la licence" de RHEL, mais on comprends que ceux-ci se soient offusqué d'un certain manque de savoir vivre, à l'époque de "unfakable linux".
Même chose lorsque les développeurs noyaux se plaignent du faible effort de contribution upstream venant du monde des développeurs embarqué, mais personne ne souhaite changer la licence du kernel pour "forcer à contribuer du code suffisamment bon pour être mergé upstream". Gueuler contre une utilisation opportuniste et non durable d'une licence n'est pas renier cette licence.
Pour recadrer : il n'était pas du tout repproché de "faire du fric". Le coup de gueule de TdR, c'était à mes yeux une façon de faire remarquer que le projet OpenBSD avait besoin de sous, qu'il y avait un paquet de grosses entreprises (y compris Cisco, Juniper, Sun, etc.) qui utilisaient le code OpenSSH et pour qui quelques centaines de dollars de dons seraient peut-être une petite somme pour ne pas scier la branche sur laquelle elles sont assises, ou encore "la moindre des politesses".
Aussi, et ce n'est peut-être pas évident à percevoir pour ceux qui ne connaissent que le monde Linux parmi les OS libres, mais OpenBSD est essentiellement un projet de hobbyistes, fait avec les moyens du bord, et où par conséquent chaque sous compte, même pour les besoins d'infrastructure de base (cf. cette dépêche par exemple) ; c'est très différent de Linux qui bénéficie de contributions matérielles et humaines de nombreuses grosses sociétés (y compris Intel, AMD, Oracle, etc), où le problème de faire d'humiliantes quètes ne se pose donc pas. C'est pour ça qu'OpenBSD a un besoin vital de dons de sous, plus encore que de dons de code, même si ça peut paraitre vulgaire ou terre à terre.
[^] # Re: Les entreprises payent ?
Posté par Zenitram (site web personnel) . Évalué à 0.
Euh... Au cas où tu ne lis pas assez ma prose, juste pour préciser : je réagis de la même manière quelle que soit la licence libre utilisée, ce n'est absolument pas spécifique à la la licence BSD. La licence GPL (v3 comprise) permet exactement la même chose.
Ma remarque concernent tous les libristes qui attendent un retour en échange de leur "donation".
[^] # Re: Les entreprises payent ?
Posté par herodiade . Évalué à 1.
(nb: ce n'est peut-être pas toi les autres fois hein, je n'ai pas vérifié ;)
[^] # Re: Les entreprises payent ?
Posté par Zenitram (site web personnel) . Évalué à 0.
Parce que TdR est le seul que je connaisse qui se plaint que ses utilisateurs respectent la licence?
Je n'ai jamais lu Canonical/Redhat/Mozilla/etc... dire aussi ouvertement que les utilisateurs sont des "rapaces" qui se servent sans rien donner en retour (les méchants qui respectent la licence). Ils font avec, c'est tout, et cherche des moyens pour se financer sans aller à insulter leurs utilisateurs
TdR a certes fait (un peu) avancer le libre, mais aussi remonte pas mal de monde contre lui. Je ne pense pas que ce soit la licence qui amènent cette discussion (comme dit, la GPL a le même "problème"), seulement le développeur principal qui se plaint qu'on n'a pas trouvé un modèle viable de développement à sa place.
[^] # Re: Les entreprises payent ?
Posté par herodiade . Évalué à 3.
Pas vraiment. Canonical est un utilisateur des contributions de Novel, Oracle est utilisateur des contributions de Red Hat, Xemacs un utilisateur des contributions faites sur Emacs, Tivo de Linux, tout fork hostile est un utilisateur du projet parent, Apple de KHTML, ... si tu vois ce que je veux dire.
[^] # Re: Les entreprises payent ?
Posté par kimelto . Évalué à 2.
Heu non mais non ! TdR ne se plaint pas du non respect de la license. Il n'a jamais parlé d'action juridique. Il doit même s'en foutre que les entreprises contribuent à son code.
Le projet est simplement dans une situation financière pas confortable, et il pousse une gueulante pour... faire parler les gens... but atteint donc :-)
Et puis un geste est tellement mieux apprécié quand il est volontaire et non contraint par une licence :-)
Mais bon voila, les vilaines d'entreprises d'en face ne soucient pas du projet à partir duquel elle peuvent faire vivre leurs solutions, seulement lorsque le projet sera mort et qu'il y aura plus de "SaV" (bugfix releases) elles seront dans la merde :P
[^] # Re: Les entreprises payent ?
Posté par Zenitram (site web personnel) . Évalué à 3.
Pour info, une licence libre ne peut pas demander de retour de code (sinon ce serait non libre), la GPL par exemple stipule que tu dois fournir le code à la personne à qui tu fournis le binaire, rien dans la GPL n'impose de donner ce même code au développeur initial, absolument rien.
Vraiment, je ne suis pas convaincu là.
Ah ça... Il y en a aussi dans les pro-GPL, ce n'est pas limité au pro-BSD (insulte des site qui ne gardent pas "propulsed by Dotclear" quand ils utilisent Dotclear etc...), je dirai que c'est un défaut de certains libristes en général qui n'ont pas compris que libre != imposer sa vision d'un monde meilleur (différent du voisin).
[^] # Re: Les entreprises payent ?
Posté par psychoslave__ (site web personnel) . Évalué à 3.
[^] # Re: Les entreprises payent ?
Posté par herodiade . Évalué à 5.
> activité te rapporte un paquet, si tu réfléchis deux secondes, tu te rends bien compte
> que ça vaut le coût d'aider un peu le projet qui te sert tant. Parceque si chacun en profite
> sans verser en retour, le projet qui te sert tant risque de disparaître faute de moyens.
Je suis d'accord avec ça sur le plan théorique.
En pratique, j'ai bossé uniquement dans des boîtes qui dépendent vitalement de moultes logiciels libres, et qui ne filent absolument rien (sauf une) : ni argent, ni code, ni même de la doc en retour...
Et vous ? quelles sont vos expérience ?
Je suppose plusieurs raisons à ce comportement peu citoyen :
o L'avarice aveugle et court-termiste des dirigeants
o Se défausser sur les autres (« ils trouveront bien quelqu'un d'autre qui contribuera »)
o L'absence de conscience de la notion de « bien public », dans le secteur privé français
o La difficulté de justifier une dépense non imposée aux dirigeants ou actionnaires
o Une mentalité foncièrement consumériste (« on se pose pas de question, on trouve plein de bouffe sur la table, on mange tout ce qu'on peux, on rote et on se casse »)
Alors rappeler publiquement que ces projets libres sont fragiles, et dépendent vitalement des contributeurs (de code comme d'argent) ne peux pas faire de mal (bien que je doute que ça suffise à amener une prise de conscience générale).
[^] # Re: Les entreprises payent ?
Posté par rhizome . Évalué à 2.
Et vous ? quelles sont vos expérience ?
Pas mieux. Tous les 36 du mois, j'envoie un patch en douce pour un truc dont j'ai besoin pour avancer, mais c'est tout.
Mais il y a pire : les boites qui utilisent une bibliothèque en double licence GPL/commerciale pour faire un soft proprio, sans payer la licence commerciale.
[^] # Re: Les entreprises payent ?
Posté par ß ß . Évalué à 1.
Bah quand tu économises un paquet en utilisant un logiciel sous X11/BSD et que ton activité te rapporte un paquet, si tu réfléchis deux secondes, tu te rends bien compte que ça vaut le coût d'aider un peu le projet qui te sert tant.
Ça fonctionne aussi avec les licences copyleft, non ?Parceque si chacun en profite sans verser en retour, le projet qui te sert tant risque de disparaître faute de moyens.
Tu parles des financements ou de la licence là ?# Pourquoi du Dell
Posté par vincent_k (site web personnel) . Évalué à -1.
[^] # Re: Pourquoi du Dell
Posté par Stéphane Thomas . Évalué à 4.
NB: Je ne travaille _plus_ pour Dell, mais presque tous les clients satisfaits l'étaient grâce au service après-vente...
Qu'entends-tu par "composants normaux" ? Une machine IBM, HP, whatever ? Ou bien une machine maison ? Dans ce dernier cas se pose le problème de la maintenance (diagnostique, stock de pièce de rechange)
[^] # Re: Pourquoi du Dell
Posté par herodiade . Évalué à 10.
Tout le contraire.
Et c'est ce qui importe pour des serveurs sous (et pour) OpenBSD : ils n'utilisent pas de softs proprios pour gérer le matériel serveur (quand bien même ils le voudraient, ils ne sont pas dans le radar des fabricants de chipsets, qui ne fournissent donc pas de vilains outils proprios). Même chose que pour le wifi en fait.
Sur tout les points possibles d'achoppement ou incompatibilité pouvant toucher un serveur :
- Controleur RAID : depuis deux ans, toutes les cartes RAID des Dell (PERC5 et PERC6) sont basées sur des chipsets LSI (et non plus Adaptec), dont les specs sont ouvertes. Ce qui permet d'avoir un bon driver, et de les gérer (monitoring, reconstruction, etc.) avec le brctl(8) natif d'OpenBSD.
- Sensors : les sensors sont tous accessibles par l'interface standard IPMI, donc bien supportés par les outils natifs (sensord, et les outils de supervision externes).
- Southbridge : Les chipsets des cartes mères sont du Intel (pas cette horrible merde de nvidia) (à l'exception des rares serveurs amd, mais je crois qu'il n'y a que du Intel sur la gamme PowerEdge 2950).
- Net : Les cartes réseau sont du Broadcom BCM5708 (bon, du intel serait mieux mais ça marche).
Le seul point perfectible à mes yeux sont les cartes d'accès/prise en main à distance (Dell DRAC), dont le chipset et le firmware sont fournis par Avocent, et merdent un peu sous firefox. Notez que cette plaie d'Avocent fournis aussi les chipset des serveurs Sun (ALOM), des HP (pour les iLO), de IBM (pour les RSA-II), etc., qui ont donc eux aussi le même problème. Faudrait que les utilisateurs de firefox ralent un peu pour que les constructeurs exigent un meilleur firmware de ce fournisseur, qui semble s'imaginer que les admins bossent tous avec un java 32 bits sous ie7.
De mémoire, les précédents appels aux dons pour du matos d'infrastructure (comme le précédent main cvs) annonçaient aussi être destinés à acheter du Dell, vraissemblablement pour les même raisons : OpenBSD est plus sensible que Linux au matériel "pas ouvert" ou "pas standard".
[^] # Re: Pourquoi du Dell
Posté par herodiade . Évalué à 7.
- Watchdog : fournis à travers l'interface standard IPMI. Donc pas besoin de driver spécifique, ça marche out of the box avec un kernel BSD comme avec un kernel Linux.
- Petits matériel : visseries, ventilateurs, cables d'alim, etc. standards. Lecteur CD, RAM, CPUS, disques durs (SCSI avant, SAS désormais), etc. standards. Les rails et les tiroirs disques durs sont sur mesure, comme pour tout les serveurs.
- BIOS & ACPI : de bonne factures, qui ne choquent pas le noyau Linux ni même (et c'est plus difficile) celui d'OpenBSD, et qui ne masquent pas les instructions de virtualisation ou autres fonctionnalité importantes.
On peux difficilement faire beaucoup plus standard et F/OSS-friendly comme matériel serveur (je dis serveur, parce que sur un desktop ou laptop les choses qui comptent le plus sont différentes : carte graphique, carte wifi, suspend-to-ram et hibernation, etc.).
[^] # Re: Pourquoi du Dell
Posté par Psychofox (Mastodon) . Évalué à 3.
Les ALOM sun n'ont pas de serveur web et sont donc accessible uniquement via telnet et/ou ssh, par contre les ELOM et ILOM ont une interface web qui fonctionne parfaitement avec firefox. Révise tes classiques.
[^] # Re: Pourquoi du Dell
Posté par herodiade . Évalué à 2.
Désolé pour le raccourcis, j'aurais du dire : « Avocent fournis aussi les chipset des serveurs Sun (ALOM), des HP (pour les iLO), [...] qui ont donc eux aussi le même problème (du moins ceux qui essaient de fournir cette fonctionnalité, évidement) ».
> les ELOM et ILOM ont une interface web qui fonctionne parfaitement avec firefox.
Soit on n'a pas le même niveau d'exigence (mais à ce point, ça me semble peu probable), soit tu a la chance d'utiliser une des rares config/environnement firefox a avoir miraculeusement été testée par Avocent. Ou alors un firefox sous Windows ? là aussi j'aurais dû mieux préciser : « marchent super mal avec les firefox et/ou les java inclus dans les distros Linux modernes et orientées desktop ». En ce qui me concerne, je n'ai jamais réussi à installer un OS à distance sur un HP sans ressortir une machine virtuelle sous Windows (faute de quoi : media virtuel qui se déconnecte abruptement, freeze du navigateur, applet qui se met à ne plus rien afficher, keystroke doublés, ... sous firefox linux).
[^] # Re: Pourquoi du Dell
Posté par Psychofox (Mastodon) . Évalué à 2.
Par contre en effet nous n'avons probablement pas les mêmes besoin car nous n'avons jamais utilisé la redirection de la console via l'interface web (nous l'utilisons peu en fait). On utilise bêtement la console en ligne de commande via ssh pour cela, c'est bien plus pratique je la démarre dans screen et je peux enregistrer l'historique en cas de besoin.
Quel est l'intérêt d'utiliser cette console depuis l'interface web ?
[^] # Re: Pourquoi du Dell
Posté par herodiade . Évalué à 1.
Selon l'environnement, un boot pxe d'un bootloader + kernel + installeur paramétrés pour utiliser la console virtuelle série fournie/émulée par la carte de management conviennent très bien, mais pas lorsque les OS à installer changent souvent, ou qu'il y a des non-unix parmi eux, ou qu'on ne peux pas poser de serveur tftp sur le réseau cible.
Une fois l'OS installé, je n'utilise jamais ce truc bien sûr, je ne suis pas maso ;-) (là, effectivement, un ssh est très bien, ou encore le serial over ipmi, et encore j'ai vraiment rarement besoin d'accéder à la vraie console principale d'un serveur une fois celui-ci installé).
Aussi, pour tripatouiller dans l'interface des controleurs raid...
[^] # Re: Pourquoi du Dell
Posté par Psychofox (Mastodon) . Évalué à 3.
Je testerais voir cette console graphique juste pour voir comment ça marche avec firefox sur ma machine.
[^] # Re: Pourquoi du Dell
Posté par NickNolte . Évalué à 2.
# Et pourquoi pas un serveur SUN?
Posté par NickNolte . Évalué à 3.
Même si l'argent des dons est destiné à renforcer le projet OpenBSD, je préfère que ça part dans du Sun que du Dell.
[^] # Re: Et pourquoi pas un serveur SUN?
Posté par psychoslave__ (site web personnel) . Évalué à 2.
If you want to judge any entity particularly harshly, judge Sun. Yearly they hold interoperability events, for NFS and other protocols, and they include SSH implementation tests as well. Twice we asked them to cover the travel and accommodation costs for a developer to come to their event, and they refused. Considering that their SunSSH is directly based on our code, that is just flat out insulting. Shame on you Sun, shame, shame, shame.
[^] # Re: Et pourquoi pas un serveur SUN?
Posté par NickNolte . Évalué à 1.
En regard des actions d'ouverture incroyables réalisées ces 3,4 dernières années?
[^] # Re: Et pourquoi pas un serveur SUN?
Posté par vincent_k (site web personnel) . Évalué à -2.
# 2950III à 1600€ HT
Posté par lionel tricon . Évalué à 2.
Un 2950III coute 1600€ HT en ce moment
http://www1.euro.dell.com/content/products/productdetails.as(...)
J'ai loupé quoi ? la garantie ?
[^] # Re: 2950III à 1600€ HT
Posté par Maxime Ritter (site web personnel) . Évalué à 8.
- 1 processeur bi-core
- 2 go de RAM
- 1 disque dur SATA.
- 1 an de garantie 5 jour sur 7
Tu peux avoir des 2950 avec :
- 2 processeurs quad-core
- 32 go de RAM
- 8 disques durs SAS 15K RPM.
- 5 ans de garantie 24x7 avec délai de 4h.
Etonnament, le prix ne sera vraiment pas le même :)
Enfin, il faut savoir que chez Dell (mais pas que chez eux) il y a une différence importante entre le prix public affiché et le prix que tu peux négocier avec le commercial :)
[^] # Re: 2950III à 1600€ HT
Posté par B16F4RV4RD1N . Évalué à 6.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: 2950III à 1600€ HT
Posté par Kerro . Évalué à 2.
L'espace dans les racks, ah oui ok. M'enfin à ce tarif, autant louer des serveurs tout cuits. Il doit bien y avoir l'équivalent d'OVH en Amérique du Nord non ?
[^] # Re: 2950III à 1600€ HT
Posté par Romeo . Évalué à 1.
Le SAV a une surement une grosse part fixe -> plus cher.
De plus le NFS en load balancing ...
[^] # Re: 2950III à 1600€ HT
Posté par ouin . Évalué à 2.
Au hasard, je dirais "vérifier".
Au Canada (vu que c'est la que le projet est installé), la version de base est "starting from 3,070$". La "enhanced" à partir de 2,971$:
http://www1.ca.dell.com/content/products/features.aspx/pedge(...)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.