Glandos a écrit 1327 commentaires

Oui ! J'ai hérité d'un fabuleux préfixe de trait souligné. Ça me va bien comme ça ;)

Je sais, c'est juste qu'il manque celui de la fin pour faire de l’italique comme les autres. Et que je suis vexé d'être le dernier du classement du mois, évidemment.

Je me réponds à :

Ah, et pour ReadWritePaths avec DynamicUser, ça fait quoi ? Les fichiers sont écrits avec un UID/GID qui peut être réutilisé

En effet, pour la documentation de StateDirectory et consort, ça dit :

If DynamicUser= is used, the logic for CacheDirectory=, LogsDirectory= and StateDirectory= is slightly altered: the directories are created below /var/cache/private, /var/log/private and /var/lib/private, respectively, which are host directories made inaccessible to unprivileged users, which ensures that access to these directories cannot be gained through dynamic user ID recycling. Symbolic links are created to hide this difference in behaviour. Both from perspective of the host and from inside the unit, the relevant directories hence always appear directly below /var/cache, /var/log and /var/lib.

C'est compliqué. Ça veut dire aussi que l'application doit se trouver dans /var/lib/mon-application. J'avoue que j'aime bien /var/www/application.example.com/mon-application…

Très intéressant, merci.

Je m'étais attelé à la même tâche avec uWSGI, que je trouvais justement plus facile d'intégrer à l'activation par socket de systemd. Malheureusement… le plugin PHP (voir uWSGI en entier) est plutôt à l'abandon et le support de PHP 8.1 (qui vient d'arriver dans Debian/testing) est encore bien cassé. Le correctif a été intégré, mais il n'y a toujours pas de version publiée.

Donc je vais me pencher pour l'utilisation de PHP-FPM, en enlevant les pools que j'utilisais jusque là.

J'irais même jusqu'à créer des utilisateurs différents par applications (www-application1, etc) et à le mettre comme paramètre de l'instance php-fpm@.socket:

SocketUser=www-%i
SocketGroup=www-%i

Mais y a un truc que je ne comprends pas… Dans php-fpm@.service il y a SupplementaryGroups=%i ce qui veut dire que le groupe mon-application doit exister. Par contre, php-fpm@.socket crée un socket 0660 appartenant à php:www-data. Il manque pas un truc ?

Ah, et pour ReadWritePaths avec DynamicUser, ça fait quoi ? Les fichiers sont écrits avec un UID/GID qui peut être réutilisé :

Care should be taken that any processes running as part of a unit for which dynamic users/groups are enabled do not leave files or directories owned by these users/groups around, as a different unit might get the same UID/GID assigned later on, and thus gain access to these files or directories.

J'ai l'impression qu'un utilisateur statiquement défini est préférable si l'application a besoin d'écrire son fichier de configuration (au hasard, Nextcloud).

Pour rebondir, d'après la documentation, si DynamicUsers=true, plein d'options sont mises, donc le fichier est plein de redondances. Mais, c'est vrai, des fois, il vaut mieux être explicite…

• Google Cloud Platform (GCP) a activé HTTP/3 sans avertir les utilisateurs
• La télémétrie de Mozilla est sur GCP
• Le composant de télémétrie dans Firefox utilise un composant en Rust utilisé par aucun autre qui modifie des en-têtes (en l'occurrence Content-Length) et y a eu un micmac dans la casse (Content-Length vs content-length).

Bref, c'était pas testé côté Mozilla, et Google est en mode YOLO.

C'est pour :
- Windows
- Mac
- iOS
- Android

Il manquait pas grand-chose pour en faire une version Linux, non ? Ou alors ça tourne sous Wine/Proton ?

Ah un truc que je n'aime pas. Ou au moins trouve dérangeant : https://powerz.tech/app-parents C'est l'application qui permet de « contrôler » les enfants. Ce que je n'aime pas, c'est que ce genre de logiciel entraîne nos enfants à vivre dans la surveillance numérique, comme si c'était normal. C'est normal de surveiller les enfants (voire les gens) avec ses yeux, ses oreilles, bref, son corps, de manière physique. Mais surveiller les gens de manière numérique, et ubiquitaire, c'est le panoptique, c'est … pas le bon chemin. Bref, je m'égare, ce commentaire devient politique ;)

Parce qu'ils ont reçu un cadeau qui se contrôle par Bluetooth LE dans une application Android.

Un OS sans accès à internet, ça c'est du contrôle parental ! :-)

J'ai récemment allumé une tablette Android que je voulais réserver pour mes enfants. Hors de question qu'ils aient Internet. Pas bête, je me suis dit qu'on pouvait limiter les réseaux par compte.

Que dalle. Android permet de limiter des tas de choses, mais pas l'accès au réseau. Enfin si, par des circonvolutions de faux VPN. Blague.

J'ai créé un réseau local sur mon routeur (que je contrôle), verrouillé. Accès au réseau local uniquement. C'était pas simple. Et Android se plaint sans cesse qu'il n'a pas accès à Internet.

Android n'a pas du tout été conçu pour être connecté à un réseau indépendant de Google, c'est très chiant.

(ça se dit encore GaaS ?)

Cool ! Donc Activision-Blizzard est une usine à GaaS.

Clonezilla est extrêmement compliqué. Il m'a fallu plusieurs fois pour comprendre ce qu'il faisait, et je ne suis pas un débutant.

Mais il est possible de le lancer dans un terminal, pour cloner autre chose que le disque système, et c'est très pratique. C'est possible dans Redo Rescue ? J'ai l'impression que les logiciels embarqués dans le live cd ne sont pas dispo ailleurs.

Je pense que l'auteur du lien voulait mettre l'emphase sur ce passage :

l’ocytocine n’est plus brevetable et son développement en tant que médicament pour les troubles d’interaction sociale ne serait pas rentabilisable. Le défi pour le chimiste est donc d’imaginer une molécule nouvelle, brevetable, stable, capable de pénétrer dans le cerveau après administration par voie orale, d’y mimer l’ocytocine et de traiter efficacement la pathologie ciblée.

On en est à un point où le système ne permet pas une coordination des labos pharmaceutiques sur la recherche de molécules non brevetables. Dans le meilleur des cas c'est dommage.

Là, j'avoue, ce n'est pas parce que c'est sur Reddit que c'est légal.

L'article complet est payant. Ce n'est peut-être pas plaisant, mais ce n'est pas autorisé de le reproduire dans son intégralité sans l'autorisation des ayants droits (auteur et, j'imagine, Le Monde aussi).

Je confirme. Quand une agence a ouvert pas loin il y a de cela 3 ou 4 ans, je les ai appelés. Je suis allé chez eux, j'ai fait un scandale. Oui, j'ai du temps à perdre pour ces conneries.

Le pire dans tout ça, c'est que les gens ne s'excusent même pas : ils ne comprennent pas pourquoi on ne fait pas comme tout le monde, c'est-à-dire hausser les épaules et jeter à la poubelle.

Je me vois mal leur expliquer que c'est le principe même de la publicité, de ne pas y faire attention. Je préfère justement y faire attention, en conditionnant mon cerveau pour qu'il retienne un mauvais souvenir.

Vu via https://www.schneier.com/blog/archives/2022/01/apples-private-relay-is-being-blocked.html

Il y a également un autre article : https://www.telegraph.co.uk/business/2022/01/09/apple-fire-iphone-encryption-tech/

Arguments classiques :
- Perte de souveraineté
- Enquête de police dans le noir

Mais que mon opérateur coupe des communications, ça, ça n'a pas l'air gênant.

Chez moi aussi. Il n'y a que deux catégories qui s'obstinent :
- les livreurs de pizza
- les agents immobiliers

Il y a une des deux catégories qui est sensée savoir rédiger des contrats et les respecter. Mais apparemment, non.

Ah mais oui, c'est évident que c'est pertinent en français !

Mais ça devrait être posté en commentaire de l'article précédent, je pense.

Enfin, je m'en fous, je moinsse jamais ;)

https://linuxfr.org/users/spacefox/liens/dev-corrupts-npm-libs-colors-and-faker-breaking-thousands-of-apps

Probablement pour ça que c'est « moinssé ».

Interview sur Le Monde : https://www.lemonde.fr/economie/article/2022/01/07/carlos-tavares-pdg-de-sellantis-nous-devenons-une-entreprise-automobile-technologique_6108570_3234.html

Je sais que c'est du marketing, mais quand même, c'est assez à contre-courant de ce que j'attendrai d'une voiture. Qu'elle roule. Le reste, je veux que ce soit mon appareil personnel qui le fasse. Ça fait 15 ans que je diffuse ma musique avec mon propre baladeur, je vois pas pourquoi l'ordinateur de bord le ferait mieux que moi, en dehors de son ampli…

Bref.

Je n'ai pas de source, mais un raisonnement.

Les entreprises gérant les systèmes de transfert d'argent ont un intérêt à ce que la transaction leur coûte le moins possible. L'énergie n'est certes pas chère, mais quand même. Donc forcément, ils ont fait en sorte de minimiser le coût de ces transactions. L'informatique a beaucoup aidé, mais contrairement au Bitcoin, la confiance ne réside pas dans le système informatique lui-même. Donc, on peut être aussi efficace que l'on veut.

https://www.nextinpact.com/article/49371/lourdes-amendes-cnil-a-encontre-cookies-google-et-facebook-notre-decryptage

C'est payant pendant un mois. Alors je fais des courtes citations :

Dans le bandeau cookies du moteur ou celui de YouTube, l’utilisateur qui refuse les cookies « doit effectuer au moins cinq actions (le premier clic sur le bouton "Personnaliser", puis un clic sur chacun des trois boutons pour sélectionner "Désactivé" - chaque bouton correspondant à la "personnalisation de la recherche", l’"historique YouTube" et la "personnalisation des annonces" - et enfin un clic sur "Confirmer") ».
Alors, insistons, qu’il ne doit effectuer qu’une seule action pour accepter d’être tracé.
[…]
Et elle ne se prive pas de dénoncer les contorsions de Facebook dans l’arborescence de ce choix : « un utilisateur distrait qui cliquerait sur le bouton "Accepter les cookies" figurant au bas de la seconde fenêtre ne verrait aucun cookie publicitaire déposé dans son terminal dès lors que les boutons glissants permettant d’activer le dépôt de ces cookies sont désactivés par défaut ».
Une présentation pour le moins alchimique : pour la CNIL, « il est particulièrement contre-intuitif de devoir cliquer sur un bouton intitulé "Accepter les cookies" pour en réalité refuser leur dépôt ».
[…]
Google comme Facebook peuvent désormais attaquer cette décision devant le Conseil d’État, pour espérer sa réformation voire son annulation. On relèvera in fine que la CNIL n’a pas demandé l’effacement des millions de cookies glanés par ces interfaces trompeuses ou déséquilibrées.

Je ne sais pas si la CNIL est compétente pour le dernier point. Si le consentement n'a pas été libre et éclairé, est-ce que ces sociétés ont légitimement le droit de l'exploiter ? Si ce n'est pas le cas, comment est-ce qu'une autorité peut faire retirer cet usage par la contrainte ? Y aura-t-il de la neige à Noël ?

Moi j'aime bien la sanction publicitaire.

Un communiqué en page d'accueil et de résultat disant « On a été condamné parce qu'on a pas été foutu de mettre un bouton de plus », pendant 72h.

Intéressant. C'est sympa même.

Par contre, c'est que Android et iOS : « Désolé pépé, mais t'es trop vieux pour ça… Arrête d'utiliser ton ordinateur ! »

Par contre, il semblerait qu'on ait encore le droit de supporter les Pixel après que Google les ait abandonnés. Merci les bénévoles !

Merci pour la remontée.

Je suis tombé dessus par hasard, mais là, clairement, pour analyser la liste complète il faut scripter :)

Il y a des gens très biens qui ont fait des super résumés : https://tosdr.org/

Alors oui, c'est pas trop traduit en français… Mais c'est de l'anglais simple du coup :)

Bon, je crois que vous avez fait le tour de vos arguments, et c'est pas mal.

Mais oui, je voudrais rebondir sur :

Mozilla c’est 500 millions par ans quand même, hein, c’est pas rien non plus, et que Google fait beaucoup, beaucoup, beaucoup, beaucoup plus que « juste » un navigateur

J'ai l'impression que Chrome est devenu comme IE à sa belle époque : un produit d'appel. Alors certes, Microsoft ne croyait surement pas au Web, et Google a très bien compris qu'il doit mettre le paquet dans le navigateur, mais ce n'est pas un produit qui lui rapporte de l'argent, c'est juste le point d'entrée. Chrome n'est pas un produit en soi, il permet de servir les intérêts de Google, contrairement à Mozilla qui édite Firefox pour ce qu'il est, et se finance essentiellement avec des contrats avec les moteurs de recherche par défaut.

Évidemment, ces deux modèles de revenus ont un point commun : la part de marché. Plus elle est grosse, plus elle rapporte. Donc malgré tout, la guerre est la même.