🚲 Tanguy Ortolo a écrit 12224 commentaires

Si ça peut te donner des idées, personnellement j'ai mappé Compose sur Menu.

Je comprends plutôt ça comme le fait que le genre grammatical masculin est celui de l'absence de précision. Quand on parle de l'utilisateur, ça ne précise pas s'il s'agit d'un homme ou d'une femme. Quand on parle de l'utilisatrice, ça précise qu'il s'agit d'une femme.

Nous pourrions ajouter une touche Fn

La première touche de France !

Ok, poussez pas, je suis déjà en train de sortir…

Même sans normalisation, il n'est pas difficile de faire accepter, non pas les distributions GNU/Linux, mais plutôt par les responsables d'X.Org, une nouvelle disposition clavier, si elle est bien conçue, maintenue, répond à un besoin et fait consensus pour les intéressés. Oui, je pense à la disposition bépo, qui est largement intégrée.

Le problème vient plutôt des distributeurs de systèmes d'exploitations commerciaux, qui n'ont pas de raison de répondre à une demande d'intégration sans motif très sérieux, puisque leur temps, c'est de l'argent et qu'ils ne travaillent pas pour leurs utilisateurs mais pour leurs actionnaires. En clair, demande à Microsoft d'intégrer la disposition de clavier bépo, et tu n'auras même pas de réponse : il ne faut pas attendre de professionnels, qui travaillent pour gagner leur vie, qu'ils soient aussi bons que des amateurs, qui travaillent parce qu'ils aiment ce qu'ils font.

En revanche, demande-leur d'intéger la disposition normalisée Afnor machin, qui est une implémentation nationale de la norme ISO bidule annexe truc et là, ce sera plus facile d'obtenir une réponse, peut-être même une réponse favorable.

Bon, tu as l'air de parler de trucs intéressants, de normalisation, de consultation peut-être, ce qui sont de très bonnes choses auxquelles il faut participer autant que possible, mais ton article est un tel bordel, entre les sous-entendus et les non-dits, qu'il en devient pénible à lire et à peu près incompréhensible.

Par exemple :

C'est le moment de soumettre vos suggestions et de présenter vos propositions !

Propositions de quoi, de nouvelle disposition de clavier ? Entièrement nouvelle, genre bépo, ou extension de ce qu'il y a d'écrit sur nos claviers ?

Or comme vous le savez, cette activité de l'AFNOR

Quelle activité ? La normalisation ? C'est l'ensemble de leur boulot ça. La normalisation de trucs informatiques ?

est financée en grande partie par un certain grand éditeur de logiciels…

Quel grand éditeur ? Si c'est Microsoft, pourquoi ne pas le nommer ?

Par conséquent, si nous ne faisons rien, le futur clavier de France restera essentiellement assujetti aux mêmes contraintes externes auxquelles nous devons notre clavier majoritaire inepte que les utilisateurs/-trices français/-ses traînent comme un boulet au pied depuis des décennies !

Si tu as des reproches à faire à une disposition de clavier, il serait bon :

1. d'indiquer de quelle disposition de clavier tu parles : une qui se limiterait à ce qu'il y a écrits sur les touches de nos claviers sans doute, ou peut-être celle fournie avec Microsoft Windows, qui est peut-être identique à ce qu'il y a d'écrit sur les claviers justement ;
2. de formuler clairement ces reproches : il manque les guillemets français ainsi que les Æ et les Œ, c'est ça ?

Pour ces derniers, le souci de l'utilisateur/-trice, de ses conditions de travail, de ses performances et de sa productivité n'est qu'un faire-valoir pour la promotion des solutions propriétaires et payantes sachant que de l'autre côté, le même éditeur n'hésite pas à saper la productivité, miner notre performance et pourrir nos conditions de travail sciemment par les brides et les mauvais agencements ineptes au niveau du clavier.

Phrase trop longue. À part ça, de quoi tu parles, qu'est-ce que c'est que cette histoire de sape volontaire de la productivité ?

C'est donc sous le système préinstallé et avec le logiciel fourni gratuitement que j'essaie de faire des agencements 2.0.

Qu'est-ce que c'est qu'un agencement 2.0 ?

L’ISO sur le point de tuer dans l’œuf le concept du clavier 2.0

Qu'est-ce que c'est qu'un clavier 2.0 ?

Bon, j'arrête là, c'est trop mal écrit pour moi, désolé. C'est dommage parce que ça avait l'air de parler de trucs potentiellement intéressants, mais là je n'y comprends vraiment rien.

Franchement, tu aurais pu parler de JSON à la place de XML, c’est quand même bien plus sexe :P

Bien plus sexe ? Je ne veux pas d'exhibitionnisme sur mon ordinateur !

Je ne suis pas sûr que ce site soit l'endroit idéal pour ce genre de question, tu ferais mieux de demander sur un site ou un forum de discussion dédié à cela.

Le plus gros problème avec CA Cert c'est de trouver les accréditeurs dans son rayon géographique !

Autrement dit, le plus gros problème de CAcert c'est qu'ils font une vérification d'identité sérieuse, en somme. Personnellement j'appelle ça un avantage.

applique une vérification sérieuse,

Merci pour la bonne blague.

Euh, j'étais sérieux là. Autorité de certification commerciale : il faut fournir quelque chose comme un de relevé de compte en banque (un truc que n'importe qui peut falsifier) et une adresse électronique et un numéro de téléphone où être rappelé. Aucun contact direct. CAcert : il faut rencontrer en personne trois ou quatre accréditeurs CAcert qui vérifieront tes papiers d'identité et la correspondance de la photo avec ton visage.

Tu sais très bien que c'est faux (pour s'en convaincre, il suffit de voir qu'ils n'osent même pas demander à des pro-libres de regarder chez eux).

Là, je n'ai pas compris.

Parce que pour vérifier l'empreinte d'une clé il faut faire confiance à une entreprise que quelqu'un à payer pour ça.

Pas du tout. Une autorité de certification n'est pas payée pour vérifier quoi que ce soit, elle est payée par ces clients pour leur fournir un certificat signé. La vérification, ce n'est pas la prestation qu'elles vendent, mais simplement un devoir déontologique, qui a l'inconvénient d'être opposé à leur intérêt financier. Plus une autorité de certification vérifie, plus elle refuse de clients, et moins elle gagne d'argent.

Quel article tu commentes, ça c'est une information publique. Pour le reste, d'accord.

Parce que si tu supprimes cet avertissement, tu autorises n'importe quel attaquant à faire ce qu'il veut du réseau puisqu'il peut se faire passer pour un site légitime avec un certificat auto-signé.

N'importe quel attaquant capable de réécrire à la volée ton trafic réseau. Ça limite quand même un peu.

Transmettre ton mot de passe en clair.

À ma connaissance, les seuls cas avérés de certificats falsifiés étaient des certicats utilisant un condensat MD5.

Oh que non, il y a aussi eu des cas d'autorités de certification qui ont émis des certificat pour des noms de domaines données à l'intention de gens qui n'en étaient pas du tout propriétaires.

La plus belle preuve que les autorités de certification ont fait n'importe quoi, c'est qu'elles ont introduit de nouveaux certificats avec Extended Validation qui veulent dire que là, c'est sérieusement vérifié. Autrement dit, que sans EV, c'est vérifié n'importe comment.

Ce ne sont pas les certificats X.509 le problème,

Si. Les certificats X.509 ne pouvant porter qu'une seule signature d'autorité, ce qui encourage le maintien d'un oligopole très restreint d'autorités de certification (on ne peut pas raisonnablement prendre un certificat signé par un petit nouveau, qui ne sera pas reconnu partout, et on ne peut pas prendre un certificat signé à la fois par un petit nouveau et par un acteur établi puisque le format de certificats ne le permet pas).

À son tour, la grande importance des acteurs majeurs de cette coterie empêche leur retrait en cas de problème (too big to fail: même si VeriSign émet, disons, des certificats pour la NSA portant sur des noms de domaines qu'elle ne possède pas, on ne peut pas retirer VeriSign des navigateurs sinon le Web commercial cesse en pratique de fonctionner). Compte tenu de cela, les autorités de certification, qui ne sont pas payées à la vérification mais à la certification et qui n'ont aucun intérêt à effectuer des vérifications trop poussées (au risque de refuser des clients !), mais au contraire tout intérêt à accepter à peu près n'importe quel client sans se montrer trop exigeantes, n'ont pas grand chose qui les retiennent de maintenir un niveau de vérification très bas.

Et oui, tous ces problèmes sont en grande partie des conséquences du format technique X.509.

à quoi ca sert de chiffrer si tu ne sait pas avec qui ?

À se prémunir des attaques par simple écoute passive, même si c'est vulnérable aux attaques par réécriture active, en effet.

Par ailleurs, si cela ne permet pas de détecter les attaquants actifs présents depuis le début de la session, cela rend détectable l'introduction d'un nouvel attaquant actif en cours de session.

Bref, c'est mieux que de communiquer en clair, et moins bien que de communiquer en chiffré avec une vraie vérification du propriétaire de la clef publique.

Ce qui est une insulte, ce n'est pas l'avertissement, qui est légitime (rien de garantit qu'il n'y a pas un attaquant en réécriture sur la ligne), mais la hiérarchie des avertissements :

• transmission de mot de passe sur un site non sécurisé : aucun avertissement, ce qui est tout à fait anormal ;
• transmission de mot de passe sur un site sécurisé sans certification reconnue : un avertissement sévère, alors que c'est mieux que le cas précédent puisque cela protège déjà des attaques par simple écoute ;
• transmission de mot de passe sur un site sécurité avec certification reconnue : aucun avertissements, alors que, même si c'est mieux que le cas précédent, c'est toujours vulnérable à la corruption d'une autorité de certification, ce qui arrive parfois.

À propos, pour ceux que ça intéresse, j'en profite pour mentionner cet article à propos des conséquences « sociales » du modèle technique X.509. En deux mots, ce que j'en retiens, c'est que la conception technique d'X.509 encourage : 1. une centralisation oligopolistique, dont l'équilibre serait même un monopole ; 2. que ses acteurs principaux, les autorités de certification, fassent mal leur travail.

Il me semble préférable de passer par CAcert, qui :

• applique une vérification sérieuse, contrairement aux autorités de certification commerciales (puisque leur intérêt est de ne rien vérifier du tout pour ne pas refuser des clients) ;
• pour les gens qui reconnaissent cette autorité, fournit une garantie supérieure à un auto-signé ;
• pour les gens qui ne reconnaissent pas cette autorité, fournit une garantie égale à un auto-signé.

Ben non, kernel.org c'est le nom de domaine international utilisé pour le développement du noyau Linux, ça n'a rien à voir.

Cette discipline s'appelle sérieusement l'agility ? Ça c'est bien un anglicisme de merde utilisé parce que l'angliche ça fait hype, parce qu'à mon avis, même en anglais ils n'utilisent pas ce terme tellement il est générique. Concours d'agilité canine, ça fait trop old school, c'est ça ?

Ça m'effare un peu de voir tout ce que tu as du faire pour que ce soit disponible dans Debian… Même si certaines des demandes sont sans doute justifiées et intéressantes pour un logiciel de la plus haute qualité, ben… zut hein. Puis c'est pas comme si les exigences sur des détails de ce genre améliorait l'expérience de l'utilisateur final

Si tu penses que la priorité de Debian est la satisfaction de l'utilisateurs, tu oublies quelque chose : en réalité, les priorités de Debian sont les utilisateurs et les logiciels libres, c'est marqué dans le contrat social. L'arbitrage entre ces deux priorités est un sujet important, ceci dit.

Wah la vache le gnou, après des années de lutte, un double commentaire de ma part sur la confusion entre le Web et Internet finit par :

• être pertinenté au maximum ou presque, sans aucune opposition ;
• être pris en compte à la fois par les modérateurs et par l'auteur de la dépêche, et peut-être même répercuté dans le projet dont il est question !

Merci mon Dieu ! Maintenant, Seigneur, tu peux laisser ton serviteur s'en aller en paix, selon ta parole !

Allez expliquer, aussi, à un novice complet, pourquoi quand sa connexion à Internet est cassée, non seulement il ne peut pas « aller sur Internet », mais qu'il ne peut pas non plus écrire du courrier ou téléphoner. Pourtant, ce n'est pas Internet ça. Ou alors c'est aussi Internet, mais une partie d'Internet qu'on utilise sans « aller sur Internet » ?

Bref, c'est :

• une confusion vachement ancienne ;
• dont le remède (appeler un chat un chat) a tellement peu d'effets secondaires qu'il passe inaperçu, même pour des gens qui se sont habitués à cette confusion.

Ce serait quand même bête d'introduire cette confusion dans l'esprit de débutants, qui n'en sont pas déjà victimes !

Serait-il possible de préciser qu'il s'agit d'un navigateur Web, et d'indiquer sur le premier bouton du menu qu'il permet de naviguer sur le Web ?

Ceci afin d'éviter d'alimenter, voire d'introduire chez des novice la confusion entre le Web et l'Internet en général, qui est néfaste pour plusieurs raisons :

• elle sert de cheval de Troie, voulu ou non, mais utilisé en tout cas, aux fournisseurs d'accès qui cherchent à vendre un accès au Web seulement : si on confond les deux, on ne peut rien opposer à un fournisseur qui restreindrait son service à un accès au Web seul (« — Mais si, on fournit un accès à Internet, vous pouvez aller sur Google et Facebook ! — Oui mais la messagerie instantanée et la téléphonie sont bloquées. — Ah oui, c'est normal, ce n'est pas du Web ça. — Mais c'est un accès à Internet que j'ai acheté. — Ben oui, Internet et le Web c'est pareil ! »).
• elle complique les explications, en rendant notamment ce même menu incohérent : pour écrire du courrier sur Internet, ou pour téléphoner sur Internet, il faut utiliser quoi, le premier bouton ? Perdu, c'est le second et le troisième, parce que le premier, en fait c'est pour surfer sur le Web.

Dans Debian, un logiciel doit être fourni avec ses sources, ça c'est un fait largement connu. Et effectivement, un truc comme une image raster en PNG préparée à partir d'une image vectorielle ne sera pas considérée comme le code source : le source, c'est le SVG. Ce genre de cas se retrouve également avec, par exemple, du code JavaScript minifié (le source, c'est le JavaScript d'origine) ou des pages de manuel issues d'une conversion avec quelque chose comme Pandoc (le source, c'est le DocBook, ou la Markdown, ou le je ne sais quoi d'origine). Voire même avec du code C généré à partir de code Vala. Bref, sans être un cas très fréquent, ça n'a rien d'exotique comme problème.

Est-ce à dire qu'il faut obligatoirement tout regénérer à la compilation ? Non, pas nécessairement : ce qui est essentiel, c'est de fournir tout le source. Pas forcément de tout regénérer à chaque compilation : ça, c'est un choix que fera celui qui le compilera, ou celui qui en fera un paquet pour sa distribution.

Quelle est la solution raisonnable donc ? Eh bien, dans le cas d'une image, fournir dans le tarball distribué à la fois le source en SVG et la version PNG, et mettre dans ce répertoire un Makefile qui permette de regénérer cette dernière. Les utilisateurs directs du tarball ne l'utiliseront probablement pas, mais le mainteneur d'un paquet, s'il y tient, ira déclarer une dépendance de construction sur ImageMagick et utilisera ce Makefile.