Barnabé a écrit 701 commentaires

J'ai l'impression que la confusion est moins présente que tu ne la voies, et que n'es pas très objectif sur l'article qui parle plus d'organisation et de politique que du coté technique des logiciels gérant des paquets.

En particulier

1 - Establish package maintainers independent of the vendors
2 - Establish a review process for package updates

Après il dit qu'il y a certaines fonctionnalités de ces logiciels qui aident à limiter les risques, comme les signatures et la disponibilité de mirroirs

Sans avis sur la qualité de l'auteur, je trouve la citation pertinente.

C'est pas faux

Pour que le client ne s'en rende pas compte, il suffit que le certificat menteur soit signé par une autorité qu'il (le client) accepte.

Donc en gros, il suffit dans l'entreprise de déployer sur les postes clients le certificat utilisé par Squid pour générer les faux certificats.

Si ton navigateur voit un certificat pour le domaine qu'il a demandé signé par une autorité de certification qu'il reconnait, il mettra un joli cadenas vert.

C'est pas si simple, le MITM est souvent possible en HTTPS, par des techniques de «proxyfication» et d'imitation de certificats.
Cf par exemple https://wiki.squid-cache.org/Features/SslBump

checkinstall n'est pas un outil debian, et n'a pas bougé depuis bien longtemps.

En fait je ne parle pas de libre ici, mais d'ouverture. Tu as dis toi même que le logiciel dont nous parlons n'est pas libre, j'en conviens et je le déplore.

Ceci dit, on a une plateforme ouverte, avec un soucis provenant de cette ouverture, si la plateforme avait été fermée, le risque de voir des étudiants avec un firmware modifié aurait été moindre.

En fait, quant tu dis «fermer encore plus que 0% libre» tu confonds la notion d'ouverture et la notion de liberté, et ça te mène à critiquer justement la boite qui contrairement à CASIO/HP propose avec succès une calculatrice ouverte.

Effectivement, pas plus libre que les autres, mais nettement plus ouverte.

Le logiciel de la calculatrice est disponible, on peut facilement recompiler une version et l'installer sur le matériel, ce qui est loin d'être le cas général pour les calculatrices. Cette ouverture est une raison suffisante selon moi pour qu'un article sur cette calculatrice aie sa place ici.

Du coup, le mode sécurisé pour les examens est un vrai soucis, car il suffit d'un tout petit patch pour tricher, c'est à dire avoir une calculatrice qui prétend qu'elle est en mode examen, mais qui contient toutes les antisèches.

Je ne vois pas de solution à ce problème qui ne passe pas par une moindre ouverture de la plateforme.

Peut-être que le vrai soucis est l'existence même des restrictions à l'usage des calculatrices pendant les examens, mais pour l'instant, si on veut éviter que les possesseurs de cette jolie machine s'en voient interdire l'usage pendant les examens, il faut donner des gages sur son adéquation avec les textes.

Pour Signal, je l'installe à partir de l'apk fourni sur signal.org

Il fonctionne sans soucis sur mon LineageOS sans les services Google, et gère ses mises à jour lui même.

En même temps, es tu bien certain que le mépris que tu y vois viens bien des intentions de l'auteur ?

Moi j'ai l'impression que le mépris que tu ressens viens de ta lecture, et de tes idées préconçues.

Je pourrais trouver ça révélateur de ta mentalité, mais je m'en abstiens.

Numworks est quand même «plus libre» que HP ou Casio.

Sur les quatre libertés fondamentales du logiciel, HP ou Casio t'en autorisent 1, Numworks 3, et même 3,5 car tu as le droit de modifier le logiciel et d'utiliser la version modifiée.

Je vois encore cette confusion, que je trouve assez dommage, entre un logiciel non distribué et un logiciel propriétaire, propriétaire entendu comme non libre.

La notion de liberté appliquée au logiciel ne s'applique que dans le cadre de la distribution du logiciel.

Dire qu'un logiciel qui n'est pas distribué est propriétaire n'a pas de sens. On en sait rien. Il est parfaitement possible (même si peu probable) que Qwant vende son logiciel sous une licence libre, sans en faire la publicité, à un client qui n'en fait pas non plus la publicité.

Tant qu'on a pas vu la licence du logiciel, on ne peut pas dire qu'il est libre, ni qu'il ne l'est pas.

C'est dommage toutes cette complexité que tu ajoutes, car le plus dur pour faire un paquet debian, c'est ce que tu as pris comme point de départ, c'est à dire avoir un ./configure && make && make install fonctionnant avec un destdir.

Partant de là, il suffit de lancer dh_make pour avoir un squelette de paquet bien commenté et de remplir les trous.

par des petites structures,

Rigolo car tu viens de citer "qui stockent un grand nombre d'œuvres".

Tu fais tenir une partie de ton raisonnement sur cette apparente contradiction, mais en fait de petites structures peuvent très bien héberger de nombreux logiciels.

Héberger une copie d'un logiciel ne coûte pas grand chose, en héberger un grand nombre pas beaucoup plus.

Tu n'as absolument pas démontré que «si tu sais gérer un grand nombre d’œuvre tu sauras gérer des analyses dessus», et je peux démontrer que cette affirmation est fausse.

Démonstration :
- je sais héberger un grand nombre d’œuvres (un serveur ftp et tout plein d'archives de code récupérées un peu partout suffisent)
- je ne sais pas gérer des analyses me garantissant que ces archives ne contiennent pas de logiciel propriétaire (il faudra me croire)
- Ton affirmation est fausse dans au moins un cas
- Ton affirmation est fausse.

Merci pour la réponse, même tardive.

je m'occupe d'un serveur XMPP dont 99.9% des utilisateurs se connectent avec un client web en websocket sur le port 443

J'en cherche un, peux tu nous dire lequel tu utilises et ce que tu en penses, et surtout quels clients tes utilisateurs apprécient ?

Il y a quand même une grosse différence entre onlyoffice et linutop : https://github.com/ONLYOFFICE

linutop ne respecte ni l'esprit ni la lettre du logiciel libre.

C'est là que tu te trompes, bc ne répond pas

(2.0 - 1.8 - 0.2) == 0.0

il répond

(2.0 - 1.8 - 0.2) == 0.0 à un chouia près

Python te répond la même chose, c'est juste la taille du chouia qui change

Tu écris M. et Mme tout en disant Monsieur et Madame, « etc » etc…
Passer de l’écrit "foo⋅x" à l’oral "foo & foox" n’est pas plus insurmontable.

Est-ce qu'on ne serait pas en train de prendre le problème à l'envers ?

Quand l'usage sera établi de dire «un conférencier ou une conférencière», alors il sera temps de trouver une graphie plus concise.

Mouais, à relire ta première réponse, on a l'impression que tu exprimes un franc désaccord avec le fond de ce que je dis, pas que tu en soulignes l'ambiguïté.

C'est peut être dû au «Non» par lequel elle commence.

Et elle correspond bien à ce que j'ai voulu dire.

Merci.

Et que dire de "T'es libre de faire ce que tu veux, sauf restreindre la liberté des autres" ?

La grosse différence entre les licences de type BSD et celles de type GPL, c'est que les BSD s'intéressent à la liberté de ceux à qui tu distribue ton logiciel, alors que la GPL s'intéresse à la liberté de ceux auxquels ils pourraient le distribuer eux même.

Le fait est qu'on ne peut pas dire que leur serveur est libre, mais on ne peut pas dire qu'il est non libre.

On peut juste dire qu'à notre connaissance il n'est pas distribué.

La différence ne s'exprime pas entre raspbian et github, mais plutôt entre

Voici mon projet, vous trouverez les sources sur http://github.com/moi/monprojet

et

Voici mon projet, il contient des programmes sous différente licences libres, pour les sources débrouillez vous

Il ne s'agit pas de légalité, mais de respect d'un contrat.

Lequel contrat dit (GPL 2 en français):

Article 3.

Vous pouvez copier et distribuer le Programme (ou tout travail
dérivé selon les conditions énoncées dans l'article 1) sous forme
de code objet ou exécutable, selon les termes des articles 0 et 1,
à condition de respecter l'une des clauses suivantes :

a) Fournir le code source complet du Programme, sous une forme
lisible par un ordinateur et selon les termes des articles 0
et 1, sur un support habituellement utilisé pour l'échange de
données ; ou,

b) Faire une offre écrite, valable pendant au moins trois ans,
prévoyant de donner à tout tiers qui en fera la demande une
copie, sous forme lisible par un ordinateur, du code source
correspondant, pour un tarif n'excédant pas le coût de la
copie, selon les termes des articles 0 et 1, sur un support
couramment utilisé pour l'échange de données informatiques ;
ou,

c) Informer le destinataire de l'endroit où le code source
peut être obtenu (cette solution n'est recevable que dans le
cas d'une distribution non commerciale, et uniquement si Vous
avez reçu le Programme sous forme de code objet ou exécutable
avec l'offre prévue à l'alinéa b ci-dessus).

Ton exemple de github tombe dans le cas a), et ne pose donc pas de problème. Le plus simple pour linutop de se mettre en conformité serait le b), car le c) dépend de la manière dont leur upstream gère la distribution, et ne s'applique pas au code recompilé par linutop.