OK pour Java, mais pour le C, je me demande d’où tu sors que le « lowercase with underscores » serait la convention « standard »…
Si on regarde la liste des fonctions de la bibliothèque C standard, la convention, s’il y en a une, serait plutôt quelque chose du genre « lowercase, mots raccourcis au maximum, sans underscore, et utilisation intensive de préfixe et de suffixe ». Quelques exemples :
pourquoi les banques n'autorisent elles pas les mot de passe avec une suite de caractères (chiffres, lettres, symboles) ?
pourquoi ne généralisent-elles pas l'authentification en 2 étapes, soit avec un token physique, ou via l'envoi d'un SMS ? Là où tous les webmails ou sites "sérieux" le proposent, elles accusent un temps de retard je trouve à ce niveau là.
Je me suis déjà posé les mêmes questions. Ma théorie est que pour les banques (à l’exception peut-être des banques exclusivement en ligne), les données personnelles des utilisateurs ne sont pas des données particulièrement importantes de leur point de vue (pour l’utilisateur, c’est autre chose, bien sûr). Elles n’en ont probablement pas besoin pour gagner de l’argent — une banque qui veut se faire de l’argent sur mon dos, elle va le faire en me prélevant des frais de gestion de compte, pas en exploitant mes données. Du coup, pourquoi se casser la tête à protéger quelque chose auquel on n’accorde pas une grande valeur ?
À l’inverse, pour la plupart des « sites sérieux » qui proposent l’authentification à deux facteurs (Facebook, Google, etc.), les données personnelles des utilisateurs représentent leur fond de commerce. Ils ont tout intérêt à ce qu’elles soient bien protégées. Et donc ils font ça sérieusement.
« Eric Schmidt does want your data to be secure. He wants Google to be the safest place for your data as long as you don’t mind the fact that Google has access to your data. Facebook wants the same thing: to protect your data from everyone from Facebook. »
J’ai déjà dit à plusieurs reprises ici (la dernière fois remonte à quelques semaines à peine) que Jack n’était pas conçu pour les applications desktop, pas plus que PulseAudio n’est conçu pour la MAO.
Oui, on peut se servir de Jack comme d’un serveur de sons desktop, et il y en a qui le font, mais les développeurs de Jack eux-mêmes voient ça comme une mauvaise idée.
ça serait la grande honte pour eux que de mettre en avant un truc pourri hors cas très précis
Merci de ne pas faire retomber sur Jack (qui n’a rien de « pourri » et qui excelle dans ce pour quoi il a été conçu) les propos des anti-PulseAudio.
Pour info ou rappel, sous Slackware, « l’installation par défaut » c’est « on installe tout ce que contient le DVD de la distribution (ce n’est pas aussi déraisonnable qu’il n’y paraît, la distro n’est pas grès grosse).
Donc oui, PulseAudio est imposé en un sens. Après tu peux toujours choisir le mode d’installation expert où tu choisis les paquets que tu veux installer un par un, et dans lequel tu peux donc choisir de ne pas installer l/pulseaudio. Mais comme les autres paquets de la distribution sont compilés en assumant que PulseAudio est présent, faudra pas se plaindre si tu te retrouves avec quelques programmes incapables de jouer du son…
Je ne sais pas pourquoi c’est « bête et méchant », c’est ce que je fais et ça marche très bien. J’ai juste eu à dire gentiment à PulseAudio « ça, c’est ma carte son pro, tu n’y touches pas, tu la laisses pour Jack ».
Du coup j’utilise PulseAudio (et le chipset son intégré à la carte mère) pour tous les usages « non-MAO » (y compris, pour ce qui nous intéresse ici, écouter des vidéos sur Internet), et Jack pour la MAO. Et tout le monde est content.
Personnellement je trouve ça plus « élégant » que de faire passer le son des « applis desktop standard » à travers PulseAudio et Jack.
Non, Slackware fournit PulseAudio depuis la version 14.2. C’était nécessaire pour pouvoir continuer à fournir BlueZ (support des périphériques Bluetooth, y compris les casques audio), qui depuis la version 5 ne prend plus en charge que PulseAudio.
Extrait du changelog:
After upgrading to BlueZ 5 recently, everything seemed to be working great, but then it was pointed out that Bluetooth audio was no longer working. The reason was that the newer BlueZ branch had dropped ALSA support and now required PulseAudio. So with some trepidation, we began investigating adding PulseAudio to Slackware. Going back to BlueZ 4 wasn't an option with various dependent projects either having dropped support for it, or considering doing so. After several iterations here refining the foundation packages and recompiling and tweaking other packages to use PulseAudio, it's working well and you'll likely not notice much of a change. But if you're using Bluetooth audio, or needing to direct audio through HDMI, you'll probably find it a lot easier to accomplish that.
Best of all, we're finally a modern, relevant Linux distro! ;-)
L’idée c’est que ton script appelle Zenity pour afficher une boîte de dialogue, l’utilisateur choisit ce qu’il veut, puis Zenity rend la main à ton script et tu peux agir en fonction. Puis tu réaffiches une nouvelle fenêtre, et ainsi de suite.
Alors, je vais répondre un peu à côté, mais moi j’envisagerais bien une TUI (Text User Interface) à base de Ncurses plutôt qu’une GUI.
À partir de code bash, c’est relativement facile à construire avec dialog.
S’il faut absolument une GUI, je ne suis pas sûr qu’un script shell soit le plus adapté, je pense que je partirais plutôt sur du Python ou assimilé. Mais tu peux quand même tenter des choses avec des programmes comme Zenity.
Bon, he ho, on se réveille et on défend un peu Mozilla!
Ah bon, le rôle de LinuxFR.org est de parler pour Mozilla ? Je l’ignorais.
Pourquoi tu n’irais pas plutôt chercher la discussion du côté de la communauté concernée ? Ce serait plus courageux que de venir par ici, où tu sais certainement très bien qu’on ne va pas t’opposer grand’chose…
A priori non, du moins avec les algorithmes de la famille SHA-2. En tout cas tronquer un condensat SHA-2 est considéré comme complètement acceptable par le NIST (FIPS 180-4, section 7).
L’algorithme SHA2-224 est d’ailleurs défini comme un condensat SHA2-256 (avec une constante d’initialisation différente toutefois) tronqué aux premiers 224 bits.
Il y a un groupe de travail à l’IETF sur la question (le groupe Content Delivery Networks Interconnection, CDNI) qui a déjà produit plusieurs RFCs (par exemple les 6707, 6770, 7337, …) visant à promouvoir l’interopérabilité entre CDN.
Je ne sais pas si ça a été suivi d’effets chez les fournisseurs concernés.
Pour être un peu plus parlant, la différence entre « générer une collision » et « trouver une seconde pré-image », c’est en gros la différence qu’il y a entre « trouver dans une foule deux personnes ayant leur anniversaire le même jour » (ce qui est plus probable qu’on a tendance à le croire — le fameux paradoxe des anniversaires, justement) et « trouver dans une foule une personne ayant son anniversaire le même jour que le tien ».
Pouvoir fabriquer deux fichiers ayant le même condensat (i.e. « générer une collision ») n’est pas la même chose que de pouvoir créer un fichier ayant le même condensat qu’un fichier donné (« trouver une seconde pré-image »).
Même MD-5, dont la résistance aux collisions est en miette depuis très longtemps (on peut générer des collisions MD-5 à volonté avec une puissance de calcul bien moindre que celle mise en œuvre ici), est toujours résistant en pratique aux attaques sur la seconde pré-image.
Maintenant, je n'ai pas été vérifier: est-ce que cet outil génère à volonté des collisions avec un hash donné, ou bien est-ce qu'il peut "seulement" générer deux fichiers avec la même signature?
Perso, je dirai : quoi, on était en 2014 et c'est que la que SHA-1 n'a plus été mis en premier?
Qu’est-ce qui n’est pas clair dans « toutes les versions de GnuPG publiées depuis 2010 utilisent par défaut SHA-256 et non plus SHA-1 » ?
SHA-1 n’est plus l’algorithme par défaut depuis 2010, date à laquelle il a été placé en deuxième position derrière SHA-256.
Et en 2014, pour faire bonne mesure, il a carrément été relégué en queue de liste (ce qui concrètement n’apporte pas grand’chose, mais ça permet de satisfaire ceux qui viennent se plaindre sur les listes du projet que « oh mon Dieu c’est une catastrophe SHA-1 est toujours là » — les mêmes que ceux qui depuis hier viennent se plaindre que « oh mon Dieu c’est une catastrophe SHA-1 est complètement cassé faites quelque chose bon sang »).
Quoi, avoir SHA-1 en dernière position par défaut (et non pas en deuxième position) ? Pas du tout, ça date d’août 2014 et ça nécessite donc la version 2.1.0 publiée trois mois plus tard.
Il y a une différence entre « GnuPG a fixé le problème depuis 2010 » et « les distributions et OS ont propagé la modification ».
Et bien il est grand temps que « les distributions et OS » se bougent le cul.
GnuPG 2.1.0 est sorti en novembre 2014. On est en février 2017. Sérieusement il n’y a plus d’excuse, là.
Les développeurs de GnuPG ont annoncé la fin de vie de la branche 2.0 pour la fin de l’année, et quand à la branche 1.x, ça fait longtemps qu’elle n’est plus maintenue que par souci de compatibilité (principalement pour ceux qui pourraient avoir besoin de déchiffrer de vieux messages datant de l’époque de PGP 5).
(Pro-tip: Quand je veux savoir si un tuto ou un quelconque document parlant de GnuPG vaut la peine d’être lu, je regarde la version de GnuPG utilisée. Si c’est GnuPG 1.x, je passe mon chemin.)
Et donc actuellement, sur une Debian stable, SHA1 est encore devant les SHA-2 à l’exception de SHA256
Et donc SHA-1 n’est pas l’algorithme de condensation par défaut, dans aucune des versions de GnuPG disponibles. Merci.
Tout chiffrer et basculer en HTTPS, ce n'est pas forcément utile à mon sens.
Un des intérêts de la généralisation du chiffrement, c’est de rendre le trafic chiffré suffisamment « commun » ou « banal » pour que la simple utilisation du chiffrement ne permette pas d’identifier le trafic « intéressant ».
Que je prie pour que personne ne demande jamais à ce journaliste¹ de faire un papier sur la vitesse de réaction des sapeurs-pompiers…
Sérieusement, pour moi la démarche est injustifiable, même au nom de l’expérimentation.
Ce qu’il y a de pratique avec les vandalismes sur Wikipedia, c’est que même une fois corrigés ils sont toujours là, dans l’historique des pages. Si on veut étudier la vitesse de réaction du « système immunitaire » de Wikipedia, il n’y a aucunement besoin de provoquer la réaction soi-même ; il suffit de consulter les archives. On prend, allez, disons, 1000 cas de vandalismes sur les douze derniers mois, et pour chaque cas on regarde au bout de combien de temps il a été corrigé.
Avantages :
on ne participe pas soi-même au vandalisme ;
on observe des vandalismes réels et non un vandalisme né de l’imagination du journaliste (qui n’est pas forcément représentatif de ce que font réellement les vandales) ;
on a une chance d’avoir des chiffres statistiquement significatifs (pour peu qu’on prenne un échantillon suffisamment grand), contrairement à l’observation d’un acte de vandalisme isolé.
Inconvénients :
il faut passer du temps à rechercher les actes de vandalisme dans les archives, ce qui est certainement plus long, plus fastidieux et moins excitant que de créer soi-même son propre vandalisme pour satisfaire son besoin de papier.
¹ Je ne connais pas ce Pierre Barthélémy, je ne sais pas s’il est réellement journaliste de profession ou si c’est juste un blogueur lambda qui se trouve être hébergé par Le Monde.
Franchement, je me demande pourquoi vous continuez à lui répondre…
Depuis le début de la discussion, chaque fois que vous lui rétorquez quelque chose il va se faire conforter dans son opinion par ses followers Twitter…
Mais je ne suis pas sûr que les dispositions Dvorak ou Bépo soient réellement meilleures d’un point de vue ergonomique.
L’effet de ces dispositions sur la vitesse de frappe a bien été étudié, mais apparemment pas les effets sur les troubles musculo-squelettiques (en tout cas je n’ai rien trouvé). Donc, OK pour l’efficacité, mais quid de la non-dangerosité ?
On te parle d'ergonomie, et de design, pas de facilité et surtout d'efficacité hein.
Je ne sais pas si c’est ironique ou pas, mais l’ergonomie, c’est une question d’efficacité.
Un outil ergonomique n’est pas un outil « joli », ni un outil « facile » ou « intuitif » à utiliser. C’est un outil qui permet d’être efficace et ce de façon confortable et non-dangereuse.
(Pour se rappeler la différence entre intuitivité et ergonomie : un marteau est plus intuitif qu’un pistolet à clous, mais ce dernier est plus ergonomique — vous avez déjà essayé de passer des heures à planter des clous avec un marteau ?¹)
Et la plupart des interfaces graphiques (même les jolies et les intuitives) sont des catastrophes en matière d’ergonomie. Ce n’est pas très grave s’il s’agit d’un logiciel qu’on utilise de manière épisodique (dans ce cas l’intuitivité est éventuellement préférable à l’ergonomie), mais c’est désastreux pour un logiciel sur lequel on passe ses journées (bonjour les troubles musculo-squelettiques !). Déjà, à la base la souris est anti-ergonomique (mais le clavier est à peine mieux).
Too many certificates already issued for: netlib.re
[…]
Oh, what, tout les domaines .netlib.re sont concerné par cette connerie?
Oui, parce qu’apparemment netlib.re n’est pas dans la Public Suffix List de Mozilla, sur laquelle se base Let’s Encrypt pour déterminer ce qu’est un « domaine enregistré » (comme expliqué ici). Du coup, la limite de 20 certificates par semaine par « domaine enregistré » s’applique au domaine netlib.re et non à ses sous-domaines.
Il n’y a pas grand’chose à faire contre ça, si ce n’est proposer d’ajouternetlib.re à la PSL.
je ne peux que patienter, engranger la frustration et fustiger cette boite.
Tu peux toujours obtenir un certificat auprès de l’une quelconque des autres autorités de certification qui existent.
Ah oui, c’est vrai, il faudrait payer, et puis quoi encore ?
Perso j’ai un Canon CanoScan LiDE 25 que je trouve très pratique. Compact, alimenté par le port USB, fonctionne out-of-the-box sous Slackware Linux (donc ce serait très étonnant qu’il ne fonctionne pas avec n’importe quelle autre distro).
Je crois que je l’avais payé une quarantaine d’euros, il doit y avoir six ou sept ans de ça.
DocBook fait bien les deux mais c'est vieux et plus personne n'a envie de faire de XML
Franchement je ne vois pas trop le problème avec le XML ici. OK il y a eu une forte tendance pendant quelques années à mettre du XML partout (exactement comme aujourd’hui on met du JSON partout…), y compris là où il n’était pas forcément adapté et je conçois que certains ont pu en être dégoûté, mais si on s’en tient au XML comme langage de balisage de texte, il a encore parfaitement sa place à mon avis.
Personnellement, je me sens rapidement limité quand je m’essaie à un des langages de balisage « léger » à la mode aujourd’hui (genre Markdown et assimilés).
[^] # Re: Comme les dieux l'ont voulu
Posté par gouttegd . En réponse au journal CamelCase ou lowercase_with_underscore. Évalué à 7.
OK pour Java, mais pour le C, je me demande d’où tu sors que le « lowercase with underscores » serait la convention « standard »…
Si on regarde la liste des fonctions de la bibliothèque C standard, la convention, s’il y en a une, serait plutôt quelque chose du genre « lowercase, mots raccourcis au maximum, sans underscore, et utilisation intensive de préfixe et de suffixe ». Quelques exemples :
Avec tout le respect que j’ai pour les concepteurs du C, je ne pense pas que ce soit un exemple à suivre…
# Manque d’intérêt
Posté par gouttegd . En réponse au journal Sécurité et authentification des sites bancaires.. Évalué à 4.
Je me suis déjà posé les mêmes questions. Ma théorie est que pour les banques (à l’exception peut-être des banques exclusivement en ligne), les données personnelles des utilisateurs ne sont pas des données particulièrement importantes de leur point de vue (pour l’utilisateur, c’est autre chose, bien sûr). Elles n’en ont probablement pas besoin pour gagner de l’argent — une banque qui veut se faire de l’argent sur mon dos, elle va le faire en me prélevant des frais de gestion de compte, pas en exploitant mes données. Du coup, pourquoi se casser la tête à protéger quelque chose auquel on n’accorde pas une grande valeur ?
À l’inverse, pour la plupart des « sites sérieux » qui proposent l’authentification à deux facteurs (Facebook, Google, etc.), les données personnelles des utilisateurs représentent leur fond de commerce. Ils ont tout intérêt à ce qu’elles soient bien protégées. Et donc ils font ça sérieusement.
« Eric Schmidt does want your data to be secure. He wants Google to be the safest place for your data as long as you don’t mind the fact that Google has access to your data. Facebook wants the same thing: to protect your data from everyone from Facebook. »
— Bruce Schneier
[^] # Re: Mélenchon et le libre
Posté par gouttegd . En réponse au journal Clavardage en direct sur le discours de Jean Luc Mélenchon à 15h. Évalué à 10.
C’est complément cohérent avec le fait de vendre un livre-programme bardé de DRM Adobe et qu’on ne peut lire qu’avec un programme propriétaire ⸮
[^] # Re: Eh ben non
Posté par gouttegd . En réponse au journal Lennart a encore frappé !. Évalué à 8.
Non, ce n’est pas son boulot.
J’ai déjà dit à plusieurs reprises ici (la dernière fois remonte à quelques semaines à peine) que Jack n’était pas conçu pour les applications desktop, pas plus que PulseAudio n’est conçu pour la MAO.
Oui, on peut se servir de Jack comme d’un serveur de sons desktop, et il y en a qui le font, mais les développeurs de Jack eux-mêmes voient ça comme une mauvaise idée.
Merci de ne pas faire retomber sur Jack (qui n’a rien de « pourri » et qui excelle dans ce pour quoi il a été conçu) les propos des anti-PulseAudio.
[^] # Re: poids de l'histoire
Posté par gouttegd . En réponse au journal Lennart a encore frappé !. Évalué à 6.
Pour info ou rappel, sous Slackware, « l’installation par défaut » c’est « on installe tout ce que contient le DVD de la distribution (ce n’est pas aussi déraisonnable qu’il n’y paraît, la distro n’est pas grès grosse).
Donc oui, PulseAudio est imposé en un sens. Après tu peux toujours choisir le mode d’installation expert où tu choisis les paquets que tu veux installer un par un, et dans lequel tu peux donc choisir de ne pas installer
l/pulseaudio. Mais comme les autres paquets de la distribution sont compilés en assumant que PulseAudio est présent, faudra pas se plaindre si tu te retrouves avec quelques programmes incapables de jouer du son…[^] # Re: Eh ben non
Posté par gouttegd . En réponse au journal Lennart a encore frappé !. Évalué à 6.
Je ne sais pas pourquoi c’est « bête et méchant », c’est ce que je fais et ça marche très bien. J’ai juste eu à dire gentiment à PulseAudio « ça, c’est ma carte son pro, tu n’y touches pas, tu la laisses pour Jack ».
Du coup j’utilise PulseAudio (et le chipset son intégré à la carte mère) pour tous les usages « non-MAO » (y compris, pour ce qui nous intéresse ici, écouter des vidéos sur Internet), et Jack pour la MAO. Et tout le monde est content.
Personnellement je trouve ça plus « élégant » que de faire passer le son des « applis desktop standard » à travers PulseAudio et Jack.
[^] # Re: poids de l'histoire
Posté par gouttegd . En réponse au journal Lennart a encore frappé !. Évalué à 7.
Non, Slackware fournit PulseAudio depuis la version 14.2. C’était nécessaire pour pouvoir continuer à fournir BlueZ (support des périphériques Bluetooth, y compris les casques audio), qui depuis la version 5 ne prend plus en charge que PulseAudio.
Extrait du changelog:
[^] # Re: quelques idées
Posté par gouttegd . En réponse au message Conseil GUI. Évalué à 3.
L’idée c’est que ton script appelle Zenity pour afficher une boîte de dialogue, l’utilisateur choisit ce qu’il veut, puis Zenity rend la main à ton script et tu peux agir en fonction. Puis tu réaffiches une nouvelle fenêtre, et ainsi de suite.
# TUI?
Posté par gouttegd . En réponse au message Conseil GUI. Évalué à 5.
Alors, je vais répondre un peu à côté, mais moi j’envisagerais bien une TUI (Text User Interface) à base de Ncurses plutôt qu’une GUI.
À partir de code bash, c’est relativement facile à construire avec dialog.
S’il faut absolument une GUI, je ne suis pas sûr qu’un script shell soit le plus adapté, je pense que je partirais plutôt sur du Python ou assimilé. Mais tu peux quand même tenter des choses avec des programmes comme Zenity.
[^] # Re: et si ça n'a rien à voir avec les licences ?
Posté par gouttegd . En réponse au journal Mozilla nous dit que le closed-source est plus bankable. Évalué à 0.
Ah bon, le rôle de LinuxFR.org est de parler pour Mozilla ? Je l’ignorais.
Pourquoi tu n’irais pas plutôt chercher la discussion du côté de la communauté concernée ? Ce serait plus courageux que de venir par ici, où tu sais certainement très bien qu’on ne va pas t’opposer grand’chose…
[^] # Re: Est-ce réellement un problème ?
Posté par gouttegd . En réponse au journal Et paf, le SHA-1 !. Évalué à 6.
A priori non, du moins avec les algorithmes de la famille SHA-2. En tout cas tronquer un condensat SHA-2 est considéré comme complètement acceptable par le NIST (FIPS 180-4, section 7).
L’algorithme SHA2-224 est d’ailleurs défini comme un condensat SHA2-256 (avec une constante d’initialisation différente toutefois) tronqué aux premiers 224 bits.
[^] # Re: cloudfl..what?
Posté par gouttegd . En réponse au journal Oh, la belle prise (chez CloudFlare). Évalué à 4.
Il y a un groupe de travail à l’IETF sur la question (le groupe Content Delivery Networks Interconnection, CDNI) qui a déjà produit plusieurs RFCs (par exemple les 6707, 6770, 7337, …) visant à promouvoir l’interopérabilité entre CDN.
Je ne sais pas si ça a été suivi d’effets chez les fournisseurs concernés.
[^] # Re: Est-ce réellement un problème ?
Posté par gouttegd . En réponse au journal Et paf, le SHA-1 !. Évalué à 9.
Pour être un peu plus parlant, la différence entre « générer une collision » et « trouver une seconde pré-image », c’est en gros la différence qu’il y a entre « trouver dans une foule deux personnes ayant leur anniversaire le même jour » (ce qui est plus probable qu’on a tendance à le croire — le fameux paradoxe des anniversaires, justement) et « trouver dans une foule une personne ayant son anniversaire le même jour que le tien ».
[^] # Re: Est-ce réellement un problème ?
Posté par gouttegd . En réponse au journal Et paf, le SHA-1 !. Évalué à 9.
Parce que ce n’est pas du tout la même chose.
Pouvoir fabriquer deux fichiers ayant le même condensat (i.e. « générer une collision ») n’est pas la même chose que de pouvoir créer un fichier ayant le même condensat qu’un fichier donné (« trouver une seconde pré-image »).
Même MD-5, dont la résistance aux collisions est en miette depuis très longtemps (on peut générer des collisions MD-5 à volonté avec une puissance de calcul bien moindre que celle mise en œuvre ici), est toujours résistant en pratique aux attaques sur la seconde pré-image.
La réponse B.
[^] # Re: Un 2nd Oupa
Posté par gouttegd . En réponse au journal Et paf, le SHA-1 !. Évalué à 5.
Qu’est-ce qui n’est pas clair dans « toutes les versions de GnuPG publiées depuis 2010 utilisent par défaut SHA-256 et non plus SHA-1 » ?
SHA-1 n’est plus l’algorithme par défaut depuis 2010, date à laquelle il a été placé en deuxième position derrière SHA-256.
Et en 2014, pour faire bonne mesure, il a carrément été relégué en queue de liste (ce qui concrètement n’apporte pas grand’chose, mais ça permet de satisfaire ceux qui viennent se plaindre sur les listes du projet que « oh mon Dieu c’est une catastrophe SHA-1 est toujours là » — les mêmes que ceux qui depuis hier viennent se plaindre que « oh mon Dieu c’est une catastrophe SHA-1 est complètement cassé faites quelque chose bon sang »).
[^] # Re: Un 2nd Oupa
Posté par gouttegd . En réponse au journal Et paf, le SHA-1 !. Évalué à 2.
Quoi, avoir SHA-1 en dernière position par défaut (et non pas en deuxième position) ? Pas du tout, ça date d’août 2014 et ça nécessite donc la version 2.1.0 publiée trois mois plus tard.
[^] # Re: Un 2nd Oupa
Posté par gouttegd . En réponse au journal Et paf, le SHA-1 !. Évalué à 9.
Et bien il est grand temps que « les distributions et OS » se bougent le cul.
GnuPG 2.1.0 est sorti en novembre 2014. On est en février 2017. Sérieusement il n’y a plus d’excuse, là.
Les développeurs de GnuPG ont annoncé la fin de vie de la branche 2.0 pour la fin de l’année, et quand à la branche 1.x, ça fait longtemps qu’elle n’est plus maintenue que par souci de compatibilité (principalement pour ceux qui pourraient avoir besoin de déchiffrer de vieux messages datant de l’époque de PGP 5).
(Pro-tip: Quand je veux savoir si un tuto ou un quelconque document parlant de GnuPG vaut la peine d’être lu, je regarde la version de GnuPG utilisée. Si c’est GnuPG 1.x, je passe mon chemin.)
Et donc SHA-1 n’est pas l’algorithme de condensation par défaut, dans aucune des versions de GnuPG disponibles. Merci.
[^] # Re: Mon opinion
Posté par gouttegd . En réponse au journal À quand l'HTTPS par défaut sur LinuxFR ?. Évalué à 10.
Un des intérêts de la généralisation du chiffrement, c’est de rendre le trafic chiffré suffisamment « commun » ou « banal » pour que la simple utilisation du chiffrement ne permette pas d’identifier le trafic « intéressant ».
# Injustifiable
Posté par gouttegd . En réponse au journal [Journal Bookmark] Pourquoi et comment j’ai créé un canular sur Wikipédia - PasseurDeScience. Évalué à 10.
Que je prie pour que personne ne demande jamais à ce journaliste¹ de faire un papier sur la vitesse de réaction des sapeurs-pompiers…
Sérieusement, pour moi la démarche est injustifiable, même au nom de l’expérimentation.
Ce qu’il y a de pratique avec les vandalismes sur Wikipedia, c’est que même une fois corrigés ils sont toujours là, dans l’historique des pages. Si on veut étudier la vitesse de réaction du « système immunitaire » de Wikipedia, il n’y a aucunement besoin de provoquer la réaction soi-même ; il suffit de consulter les archives. On prend, allez, disons, 1000 cas de vandalismes sur les douze derniers mois, et pour chaque cas on regarde au bout de combien de temps il a été corrigé.
Avantages :
Inconvénients :
¹ Je ne connais pas ce Pierre Barthélémy, je ne sais pas s’il est réellement journaliste de profession ou si c’est juste un blogueur lambda qui se trouve être hébergé par Le Monde.
[^] # Re: Mon commentaire sur le blog…
Posté par gouttegd . En réponse au journal Le libre et l'expérience utilisateur. Évalué à 9.
Franchement, je me demande pourquoi vous continuez à lui répondre…
Depuis le début de la discussion, chaque fois que vous lui rétorquez quelque chose il va se faire conforter dans son opinion par ses followers Twitter…
https://twitter.com/mariejulien/status/831076639631089664
https://twitter.com/mariejulien/status/831076098670735361
https://twitter.com/mariejulien/status/830887862845452292
https://twitter.com/mariejulien/status/830526305867284481
https://twitter.com/mariejulien/status/830522283135467522
https://twitter.com/mariejulien/status/830468788529274881
(J’aime bien le classique « ceux qui n’ont pas compris mon opinion sont des cas désespérés » : https://twitter.com/mariejulien/status/830403461057507328 )
À quoi bon « discuter » dans ces conditions ?
[^] # Re: juste une remarque
Posté par gouttegd . En réponse au journal Le libre et l'expérience utilisateur. Évalué à 2.
Clavier classique.
Mais je ne suis pas sûr que les dispositions Dvorak ou Bépo soient réellement meilleures d’un point de vue ergonomique.
L’effet de ces dispositions sur la vitesse de frappe a bien été étudié, mais apparemment pas les effets sur les troubles musculo-squelettiques (en tout cas je n’ai rien trouvé). Donc, OK pour l’efficacité, mais quid de la non-dangerosité ?
[^] # Re: juste une remarque
Posté par gouttegd . En réponse au journal Le libre et l'expérience utilisateur. Évalué à 6.
Je ne sais pas si c’est ironique ou pas, mais l’ergonomie, c’est une question d’efficacité.
Un outil ergonomique n’est pas un outil « joli », ni un outil « facile » ou « intuitif » à utiliser. C’est un outil qui permet d’être efficace et ce de façon confortable et non-dangereuse.
(Pour se rappeler la différence entre intuitivité et ergonomie : un marteau est plus intuitif qu’un pistolet à clous, mais ce dernier est plus ergonomique — vous avez déjà essayé de passer des heures à planter des clous avec un marteau ?¹)
Et la plupart des interfaces graphiques (même les jolies et les intuitives) sont des catastrophes en matière d’ergonomie. Ce n’est pas très grave s’il s’agit d’un logiciel qu’on utilise de manière épisodique (dans ce cas l’intuitivité est éventuellement préférable à l’ergonomie), mais c’est désastreux pour un logiciel sur lequel on passe ses journées (bonjour les troubles musculo-squelettiques !). Déjà, à la base la souris est anti-ergonomique (mais le clavier est à peine mieux).
¹ Bon d’accord, moi non plus.
# Public Suffix List
Posté par gouttegd . En réponse au message [Troll] Let's Encrypt Tome IV. Évalué à 4.
Oui, parce qu’apparemment
netlib.ren’est pas dans la Public Suffix List de Mozilla, sur laquelle se base Let’s Encrypt pour déterminer ce qu’est un « domaine enregistré » (comme expliqué ici). Du coup, la limite de 20 certificates par semaine par « domaine enregistré » s’applique au domainenetlib.reet non à ses sous-domaines.Il n’y a pas grand’chose à faire contre ça, si ce n’est proposer d’ajouter
netlib.reà la PSL.Tu peux toujours obtenir un certificat auprès de l’une quelconque des autres autorités de certification qui existent.
Ah oui, c’est vrai, il faudrait payer, et puis quoi encore ?
[^] # Re: scanner
Posté par gouttegd . En réponse à la dépêche Paperwork 1.1. Évalué à 3.
Perso j’ai un Canon CanoScan LiDE 25 que je trouve très pratique. Compact, alimenté par le port USB, fonctionne out-of-the-box sous Slackware Linux (donc ce serait très étonnant qu’il ne fonctionne pas avec n’importe quelle autre distro).
Je crois que je l’avais payé une quarantaine d’euros, il doit y avoir six ou sept ans de ça.
[^] # Re: DocBook n'est plus très populaire
Posté par gouttegd . En réponse au journal DocBook ou l'art d'écrire de la documentation. Évalué à 7.
Franchement je ne vois pas trop le problème avec le XML ici. OK il y a eu une forte tendance pendant quelques années à mettre du XML partout (exactement comme aujourd’hui on met du JSON partout…), y compris là où il n’était pas forcément adapté et je conçois que certains ont pu en être dégoûté, mais si on s’en tient au XML comme langage de balisage de texte, il a encore parfaitement sa place à mon avis.
Personnellement, je me sens rapidement limité quand je m’essaie à un des langages de balisage « léger » à la mode aujourd’hui (genre Markdown et assimilés).