groumly a écrit 3282 commentaires

Et pourtant: https://en.m.wikipedia.org/wiki/555_(telephone_number)

Les services financiers de la poste ne datent pas de 2006, que je sache.
Je crois me rappeler des chéquiers "la poste" de mes parents dans les années 80, et wikipedia a l'air d'accord avec ca.

Apres quand a savoir si la banque postale est juste un rebranding de la part de la poste, ou une nouvelle entité avec des services vraiment different, j'en sais trop rien. Mais ca parait pas délirant pour qq qui a ouvert un compte a la poste ya 20 de se considerer comme client de la meme banque pendant tout ce temps.

Pour ma part je suis au LCL,

T'es au Le Crédit Lyonnais?
Ca me fait marrer des fois les marques, ca me rappelle ca http://www.dailymotion.com/video/xjuzs_les-nuls-le-chat-machine_news

C'est surtout les chats qui coûtent cher.
C'est que ca en bouffe du wiskas un chat. Pis après y'a la spa qui cherche des noises.

100 balles disent que c'est surtout imposé par les studios dont ils distribuent le contenu et qu'ils ont pas trop le choix (à part ne pas distribuer ledit contenu, mais avec 6 milliards investi en 2017 dans le contenu original, ils vont dans cette direction, ca va juste prendre un peu de temps).

Netflix sait très bien que leur service atomise tellement le téléchargement qu'ils n'ont pas à s'en inquiéter.
Et visiblement, ca les dérange pas trop que leur propre contenu soit piraté, vu comment ils ont réagit à l'histoire de ransomware sur orange is the new black.

Si Netflix voulait se mettre bien avec les apple et google, ils seraient intégrés à l'appli TV d'appli, mais ils les ont envoyé se faire foutre. Ils sont suffisament gros et important pour qu'Apple ait plus besoin d'eux qu'eux d'Apple - c'est dur de vendre un téléphone/ipad à des parents s'ils peuvent pas mettre les dessins animés du gamin dessus.

Ben google est pas complètement debile non plus, s'ils ont ajouté cette possibilité, c'est bien pour que les développeurs s'en servent. Donc oui, google a quelque chose à y voir, ils auraient pu refuser d'offrir cette fonctionalite sur le store.

Bon, écoute, tu fais toutes les pirouettes intellectuelles que tu veux pour corriger la dissonance cognitive, ca m'en touche une sans faire bouger l'autre.
Le fait est que la FSF est incohérente, comme toutes les organization intégristes pour être tout a fait honnête.

donc ce type de processeurs n'est pas nécessairement mauvais pour le logiciel libre

Tout comme distribuer du logiciel non libre sur un depot séparé n'est pas nécessairement mauvais pour le logiciel libre.
Bref, ya toujours une bonne excuse pour justifier son manque de pureté. Le problème, c'est quand ton fond de commerce c'est l'intégrisme, ben ca mene a ce genre de choses ridicules: clamer qu'une distribution est problématique, quand on fait soi meme grosso modo la meme chose.

Bref, l'intégrisme, c'est de la merde, rien de nouveau sous le soleil.

et pourtant la FSF incite a utiliser des CPUs intel en développant pour x86, alors les 2 poids 2 mesures d'intégriste, ca va 5 minutes.

mais que le mettre en pouvoir allait énormément remuer la vase (pour ne par dire un autre mot)

Oh oui!
Comme Trump ici, en fait. Bon, au final, les bonnes parties de son programme ne sont pas appliquées du tout (encore que je suis pas sur si yen a en premier lieu), et on se retrouve juste avec les trucs "naaaan, mais il est pas sérieux quand il dit ca, cest juste pour se faire élire, il le ferait jamais", genre interdire à une religion de rentrer, construire un mur de 5000km ou retirer l'assurance médicale a 10% de la population.

Je cherche pas à tracer un parallèle avec le pen, mais je trouve quand même l'argumentaire et la situation sont quand même vachement similaires.

Pas de violation de séparation des pouvoirs, mais virer le mec qui enquête sur les liens entre ta campagne et une puissance étrangère qui a interfèré dans les élections, c'est un peu moyen quand même.
Et le menacer publiquement sur twitter après coup, ca fait très mafieux aussi.

Vous êtes géniaux, changez rien.
Entre l'un qui explique que c'est pas grave de pas avoir des bugs fix tant qu'on est pas au courant qu'ils on été corrigés, et l'autre qui t'explique que c'est génial de pas mettre à jour pendant 2 ans parce que tu découvres un nouveau monde à chaque fois, je me bidonne, mais d'une force.

C'est comme si je venais expliquer que c'est pas grave d'avoir les chiottes au fond du jardin tant qu'on sait pas que les autres ont des chiottes moderne, et que se retenir de chier pendant 1 semaine, c'est de la balle parce que quand tu finit par poser ton colombin, ca fait un bien fou!

Nan, mais laisse tomber.
Dans 1 heures ils vont venir t'explique a quel point c'est crucial d'utiliser HTTPS absolument partout et tout chiffrer de bout en bout, mais pour la source de confiance de software qui tourne sur leur machine, limite le monde va s'arrêter si on met ca derriere du HTTPS, il faut absolument tout passer en clair.

24 heures après qu'un paquet avec un correctif critique soit sortie, ta debian va magiquement deviner ca?
Ca marche comment ca au juste?

si https était utilisé pour assurer l’authenticité des paquets entre Debian et l’utilisateur

Ah bah, heureusement que j'ai explicitement dit plusieurs que c'était pas le sujet.

c’est uniquement pour t’assurer que tu parles bien à ton dépôt

Sans deconner!
Bon, on va arrêter la, hein.

Un FAI n’a pas besoin de contacter Debian pour faire un dépôt, et les utilisateurs de ce FAI peuvent utiliser ce dépôt sans contacter Debian.

???
Pourquoi est ce qu'un fai aurait besoin de contacter Debian pour servir son miroir en https?

La question est pas de zapper les signatures, la question est d'éviter de se faire une fourguer une vieille base, à la signature parfaitement valide.

Exemple con:
- Debian annonce que OpenSSL est pete chez eux, mettez à jour
- je te mitma, et je prétend que la dernière version à jour est celle qui a été patchee a la truelle par Debian.
- tu fait ton apt-get update, le client est content, tu penses être a jour, mais tu continues à utiliser l'ancienne version, dont la signature est toujours parfaitement valide.
- tu régénérés tes clés
- je t'attaque sur la base que tes clés sont faibles, et paf le serveur

Ok, un drift de 2 mois c'est abusé, mais une horloge décale d'un jour où deux, c'est pas complètement dingue non plus, tout en restant problématique, un jour ou deux pour exploiter, c'est pas rien.
La vraie question est pourquoi faire du proxy http à la rache quand monter un lazy mirror représente pas vraiment plus de travail et élimine un problème de l'architecture?

Du coup, si le client demande une mise à jour le 1er avril 2017, et reçoit un fichier dont la signature est datée du 1er novembre 2016, il a quand même de quoi se douter de quelque chose…

Quelle est la grace period?
Qu'est ce qu'il se passe si mon horloge locale est complètement désynchro, genre 2 mois dans le passé?

Qu'il y ait des checks d'intégrité sur la base, ok, cool, mais pourquoi diable est ce qu'on se passerait d'authentifier le serveur à qui on parle?
Qu'est ce qu'on gagne en pratique, à part laisser pinpin monter un proxy transparent en carton, et qui diable de sérieux voudrait faire ca en premier lieu?

Oui, c'est précisément ce qu'on cherche à éviter, les caches pas à jour ;-)

Tu casse donc la signature numérique donc le client refusera d'en faire quoi que ce soit.

Non, tu sert le même fichier, verbatim. La signature est toujours valide.
Si je te sert le libc-6.42.deb alors que libc-6.43.deb est sorti y'a 2 jours, la signature de 6.42 est plus valable?
Tout marchera très bien, c'est juste que t'es pas au courant que 6.43 est sorti.

Que tu peux avoir un proxy http pour ne télécharger qu'une seule fois chaque paquet au sein d'un réseau local, c'est très facile à mettre en place et sa consomme bien moins de disque de maintenir un miroir (ça réduit aussi plus drastiquement le peering).

Tes clients ont pas forcément d'utiliser ton proxy http pour tout leur traffic http. Et s'il faut leur demander de mettre le proxy en place uniquement pour apt, Ben tu peux aussi leur demander d'utiliser ton miroir local qui fait du lazy loading (sert depuis un cache local si dispo, sinon relai upstream).

Et donc, les mecs d'ovh sont pas foutu de router debian.ovh.com vers noeud local au datacenter dans leur propre datacenter, et ne sont pas non plus foutu de mettre en place le cert qui va bien?
Ou de tout simplement créer leur images avec par défaut "Debian.datacentername.ovh.com" comme source de paquet?
Ton réseau local qui va avoir des gains considérables la dessus est pas foutu de déployer un squid, et demander aux gens d'utiliser Debian.monreseau.com?

J'ai vraiment du mal à voir l'intérêt, excuse moi.

On est en droit de penser que le client va gueuler quand il va voir qu'il parle à un hôte qu'il ne peut pas authentifier, non?

Alors, oui, tu peux recréer une authentification d'hôte par dessus http, au niveau applicatif, mais va falloir m'expliquer la logique…

Tu crée comment la signature de la base ? Parce que fournir celle de la semaine dernière ne te suffira pas, l'antivirus va crier qu'il n'arrive pas à mettre à jour sa base de virus.

Tu sert le fichier de la semaine dernière?
Tintercepte le transfert de la semaine passée avec ton proxy local, et tu sert exactement la même base pendant des semaines. Les signatures passent, le client est content, et pense être à jour.

pour la capacité de mise en base des paquets sans avoir à créer un miroir.

???
Ca veut dire quoi?

Si tu fais référence à ca, pour le canard, merci de ne pas propager la désinformation sovieto-frontiste.
Dans le genre fake bien grossier, ca se pose quand même.
https://twitter.com/NassiraELM/status/860951345481883650

C'est moi, ou c'est complètement délirant de télécharger une base de virus via http?
Je suis le méchant, je te mitma, et je te sert la base de virus pas mise à jour depuis 6 mois, pendant ce temps je te poutre avec un virus sorti la semaine dernière.

J'ai plutôt envie de demander quelle est la raison en 2017 de préférer http à https?
Quel est le gain? Temps CPU passer à déchiffrer? Ca va, faut pas deconner quand même….

Mais si une ordure comme Trump peut faire tout ça son successeur pourra aussi tout répare

Heu, attends une seconde la, comme tu répares:
- des vies détruites par une faillite personnelle due à des factures d'hopital délirantes
- des gens morts de maladies qui se soignent mais qui n'en avaient pas les moyens
- des gens malades et/ou morts parce que "on doit avoir le choix de se vacciner ou pas"
- l'environnement détruit par la pollution
- des gens persécutés par 4 à 8 à ans de christianisme fondamentaliste (le père Pence, il est connu pour avoir tenter de "de-pédé-ifier" des homos, avec des méthodes qui conduisaient a des taux de suicide assez importants…)
- des enfants non désirés nes par manque d'accès à la contraception

Tout ca pour rendre une poignée de riches encore plus riches, ou pour caresser des fondamentalistes religieux dans le sens du poil.
On parle de vie humaines et de la santé de la planète la, pas de ton petit confort, ou de désaccords sur des politiques économiques…