barmic 🦦 a écrit 5783 commentaires

Donc les droits unix tu pense que c'est de trop par exemple ? Les LSM, la gestion d'utilisateurs, etc pareil ? La distinction kernelland/userland ? Les switch de context que ça implique nuisent aux performances et ça demande beaucoup de configuration bien complexe. Perso je joue avec TLS tranquillement et je comprends rien à SELinux.

Ta métaphore fais écho à cet article : The End of the Fortress Metaphor [EN].

La sécurité c'est d'abord du bon sens puis de la formation

La sécurité c'est avant tout une science donc non pas du "bon sens" (et globalement à chaque fois qu'on se dit que quelque chose est de l'ordre du bon sens faut faire gaffe). Au niveau le plus bas, tu applique des principes (mots de passe utilisateurs enregistrés salés et hashés par exemple) et quand tu monte tu va jusqu'à définir tes menaces de sécurité (security threat pour les recherches sur internet) et ainsi faire tes propres choix.

Je ne dis pas qu'il faut mettre du TLS partout, mais que l'argument du bon sens et de trouver ça complexe ne sont pas de bon conseillers.

Pour rappel la RGPD crée un délit de manque de sécurité. Il faut sérieusement que la sécurité ne soit plus une variable d'ajustement traitée au bon sens quand ça nous embête pas trop.

Les security threats c'est ce que la CNIL recommande avec l'"approche par les risques". Ici il est question de savoir si un attaquant peut ou pas exécuter du code arbitraire sur la machine si tu ne considère pas que c'est possible alors non seulement le chiffrement offert par TLS est inutile, mais je ne vois pas en quoi gérer des droits sur la machine est utile.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Des fois c'est 2 ou 3 semaines ou simplement dépendant de comment tu fais ton déploiement, de la charge ou de la résilience souhaitée.

On sait en plus maintenant faire du TLS configuré semi automatiquement assez transparent.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Ah évidemment comparaison n'est pas raison

cela me fait penser au type qui pose des digicodes sur toutes les portes de sa maison (y compris les toilettes) avec rotation à la semaine des codes :)

C'est comme si l'on appliquait le code de la route qu'hors des villes.

Lien avec les motards un vendredi. C'est un conte kem's ! :p

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Dring<

Ca reste de l'artillerie lourde, mais passer par HTTP permet de profiter de plein de bonnes choses. […]

Christophe B.<

Comme tu le dis cela reste de l'artillerie lourde

Puis mon commentaire qui parle de la simplicité de HTTP et de l'overhead de TLS et TCP.

Avant de me balancer ta condescendance à la gueule, pourrais-tu lire ce à quoi tu répond ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Du coup c'est le mot valise qui est galvaudé ? :D

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Il serait pas plus simple de sécuriser les accès extérieurs et de laisser l'intérieur tranquille non ?

Ça dépend. Est-ce que ce sont 2 choses qui sont effectivement toujours sur la même machine ? Est-ce que ça le sera toujours ? Ça dépend du ou des security threats qui te concernent.

C'est toujours plus simple de ne pas faire de sécurité, mais la difficulté n'est pas forcément une métrique très pertinente pour savoir si ça vaut le coût ou non. Particulièrement en matière de sécurité qui peut vite s'avérer rébarbatif sans apporter de fonctionnalité.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Pour contrebalancer un peu, si une application se met à interagir :

• en ws
• en pipe nommé
• en socket unix
• en bus
• en corba
• en amqp
• en xmpp
• …

parce que chaque bout de l'appli a trouvé plus pertinent d'utiliser son truc qui fit parfaitement. Ce n'est pas une solution.

Et le curseur d'où est-ce qu'on rationalise par rapport à faire le choix spécifique dépend des équipes. Une petite équipe et/ou moins technique rationalisera probablement plus.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Comme tu le dis cela reste de l'artillerie lourde

Je vois pas en quoi. Par exemple j'ai déjà fais du REST avec authentification TLS du client pour transmettre du protobuf. HTTP c'est un adressage (le verbe + le chemin) et des entêtes. TLS et sa négociation ou TCP avec entre autre sa gestion des congestions font déjà peut être plus de bruit.

HTTP est un protocole vraiment simple. Tout ce qui est complexe est en optin. C'est toi qui choisi de transmettre du XML, d'utiliser OAuth, d'avoir une websocket, etc.

Note qu'utiliser une socket unix ou un pipe (nommé ou non) ne change pas la question de l'encodage de ce que tu transmet (XML, JSON, messagepack, avro,…).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Pour ceux n'auraient pas d'environnement sous la main :

% xclip -o > Sapin.java
% java Sapin.java 12
           *           
          ***          
         *****         
        *******        
       *********       
      ***********      
     *************     
    ***************    
   *****************   
  *******************  
 ********************* 
***********************
           #  

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C'est pas parce qu'un mot est polysémique ou a un sens dépendant du contexte qu'il est devenu un mot valise et/ou qu'il est vidé de son sens. Surtout qu'ici il parle toujours d'un contrat d'un ensemble de méthode utilisé par un programme qu'il s'agisse d'une API C, dans le langage du dis programme, via dbus, corba, soap, rest, rpc, graphql,…

Tu trouve aussi que sauvegarder est un mot valise parce que ça peut être en mémoire, sur disque, dans une base de données, dans le cloud ou autre ?

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je vais pas réitérer une troisième fois avec une troisième personne.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Mais je m'en fou de tout ça. La question initiale que je n'ai jamais quittée c'est : le quel des 2 donne la liberté au destinataire sur comment le lire ?

• HTML peut être bloquant dans des cas de publipostage par exemple effectivement (les MUA que je connais ne permettent pas de contrôler la taille, c'est il faut avoir rédigé le HTML ailleurs, etc)
• le texte les standards te conseille de mettre des retours à la ligne à une taille maximale qui n'est pas si grande

Les 2 autorisent celui qui envoie à saboter la lecture mais d'un côté il faut un usage particulier des MUA pour le pratiquer et de l'autre ne pas le pratiquer constitue un piétinement des bonnes pratiques.

On peut imaginer avoir un autre protocole, de nouveaux standard, des usages différents et envisager tous les tenants et les aboutissants, mais la question était simplement le quel donne le plus de contrôle au destinataire.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

T'as tout pareil avec un ordre de grandeur en plus en HTML hein, et depuis toujours, alors même que ça a été pensé à l'origine pour régler ce problème précis et laisser la gestion de la mise en page au client !

Dans les faits c'est faux. Tous les MUA que je connais ne font pas du optimisé pour je en sais quel taille quand ils sont configuré pour envoyer du HTML et tu marche sur les conventions si tu envoi des lignes de plus de 78 caractères.

On revient au propos de base : tu laisse plus de liberté au lecteur avec du html qu'avec du texte.

Bref, faire du mail textuel ça fonctionne, et on pourrait faire du texte enrichi, mais il aurait fallut un sous-ensemble assez strict du HTML dès l'origine pour que ça fonctionne bien.
Là on a des clients lourds qui intègrent un moteur de rendu HTML (ou plutôt l'inverse : un moteur de rendu HTML utilisé comme client mail, comme les webmails ou même thunderbird), ce qui est salement overkill pour de la transmission de texte enrichi.

On aurait pu faire pleins de choses, par exemple normaliser un markup et s'en servire. Mais aujourd'hui ça n'est pas le cas.

Yth, qui ne voit pas plus le lien avec le base64…

Tu peux faire des lignes de la taille que tu souhaite en encodant le corps en base64. Il me semble que c'est plutôt bien géré par les MUA.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je n'ai toujours pas compris qui était volé quand les cours des actions changeaient, et je pense sincèrement que c'est absurde de penser que l'argent gagné par la spéculation vient de quelque part (surtout quand il est virtuel et que les actions n'ont pas été vendues).

Ce n'est pas de la spéculation. Ils sont en mesure de manipuler les cours. Par exemple en faisant que l'entreprise rachète des actions. Ils n'achètent pas de l'or ou autre, ils ont leur entreprise et utilisent la bourse.

Du coup, il faudrait prévoir de remettre à zéro régulièrement? Le plan c'est de renflouer encore et encore ceux qui ne savent pas garder leur argent?

Ou simplement plafonner ? L'État récupère et c'est démocratiquement que l'on décide de ce que l'on en fait.

"Savoir garder son argent" tu trouve que c'est une valeur que l'on doit mettre en avant ? Un peut comme si on changeait notre devise pour remplacer "liberté, égalité, fraternité" par "savoir garder son argent" ? C'est pas mon avis personnellement et je préfère que par fraternité, on aide ceux qui n'y arrivent pas. Surtout que c'est pas comme si la finance n'avait pas des angles morts qui sont très difficiles à financer (un tas de services aux enfants, aux vieux ou à ceux qui ont un handicap par exemple). Tu as un paquet de gens qui ne savent pas garder leur argent mais qui ama contribuent plus positivement que moi à la société.

Après, dans cette discussion, les entrepreneurs

On parle des ultra riches ne confond pas ton boulanger avec Bernard Arnaud.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Je n'aurais pas dis mieux.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Personne ou presque n'est contre le changement, mais c'est quoi le plan? Une fois que tu auras pété l'état de droit pour permettre la confiscation, les grosses boîtes seront démantelées et que tu auras distribué quelques kopecks à tout le monde, tu fais quoi? On verra à ce moment là?

Le démantèlement d'entreprise c'est un truc que les USA ont fait plusieurs fois dans leur histoire en particulier pour les chemins de fer et pour le cinéma. Tu as l'impression que l'industrie du cinéma américaine est moribonde depuis les années 30 ?

C'est vraiment un autre sujet, mais les GAFAM et BATX devront y passer un jour parce que quelque soit comment tu envisage l'économie, elles posent d'énorme problèmes en particulier d'atteinte à la concurrence.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Amazon fait peu de profits et ne redistribue pas de dividendes.

CE qui ne change rien. Verser des dividende c'est transformer une partie du capital de l'entreprise en liquidité pour les actionnaires. Mais quand tu as ce genre de fortune, tu n'en a pas besoin tu peux créer de la liquidité sans toucher à ton patrimoine. Une autre façon de transformer le capital de l'entreprise c'est en augmentant les salaires.

Autant on peut probablement faire quelque chose sur les dividendes (puisqu'il s'agit réellement de la redistribution des profits de l'entreprise), autant les fluctuations de cours de bourse me semblent quand même complexes à redistribuer aux employés (parce qu'il faudrait leur "reprendre" l'argent quand le cours baisse?).

Là c'est juste une question de savoir si et comment une entreprise est en mesure de générer de la liquidité. Mais pour le coup ça tombe bien parce qu'il existe des outils pour faire ça :

• tu peux avoir une part variable sur ton salaire
• tu peux être payé en part de l'entreprise

Ça n'est compliqué que lorsque l'on ne veut pas le faire.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Bah si, c'est justement le principe de la spéculation de créer de l'argent. En 2010, tu achètes un Bitcoin à 1$. En 2020, sa valeur d'échange est de 10,000$. Ton patrimoine a augmenté de 9,999$. Pourtant, tu n'as rien fait : tu as un portefeuille Bt sur ton disque dur. Si l'ordinateur était éteint, tu n'as pas consommé d'énergie, tu n'as pas pris d'argent à personne. L'argent vient de nulle part, il est "apparu" par l'idée collective de la valeur virtuelle que les boursicoteurs donnent au Bt. Si tu veux, tu peux dire que tu l'as créé par l'idée d'acheter un Bt et de le conserver, mais ça revient au même que de dire que l'argent est "apparu".

Oui, mais ça n'a rien à avoir. Bezos n'est pas un rentier. Sa fortune vient de la valeur de son entreprise, celle qui accumule les casseroles quant aux conditions de travail de ses employés. Il les presse ses employés pour avoir l'entreprise la plus productive possible ce qui amène donne une valeur marchande plus grande à son entreprise. Donc il a activement fais fructifié son patrimoine en donnant des conditions de travail déplorable à ses employés. Ça n'a rien de météorologique.

Je pense qu'il faut simplement accepter de vivre avec l'idée que l'argent des riches peut tout à fait ne pas avoir été pris aux pauvres.

Ce que tu fais pour augmenter la valeur de tes actions ou des dividendes, c'est de l'argent que tu n'a pas redistribué à tes employés.

Regarde les listes des plus riches du monde, tu ne trouvera personne qui a trouvé un objet dont la valeur a augmenté parce que le vent l'a choisi, mes des patrons qui ont réussi à augmenté la valeur de leur entreprise pour arriver à des sommes faramineuse. C'est un choix délibéré de ne pas redistribuer.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

La richesse, c'est donc les biens qu'on possède, en nature ou en argent. Juridiquement, les actions de société sont des meubles (c'est important dans les histoires d'héritage et de patrimoine), mais on parle bien de valeur mobilière pour les actions et obligations, à opposer aux biens corporels (les objets) et incorporels (les "trucs" non-physiques qui ont de la valeur : une clientèle, un brevet…).

Tu ajoute des concepts pour noyer le poisson tu le dis toi même ils possèdent des part d'entreprises. D'autant que si tu as choisi le Larousse il décrit les biens comme :

Ce que quelqu'un possède, ce qui a une valeur financière et peut être objet de propriété

Leurs actifs font parti de leur richesse. Tenter de les en exclure t'oblige à tordre le français.

mais il n'empêche qu'ils ne "possèdent" pas vraiment la somme correspondant à l'évaluation de leur patrimoine

Si si ils possèdent tout ça c'est la définition du patrimoine. Il y a des actions avec leur nom écrit dessus à la case propriétaire et le fonctionnement de l'économie qui applique ça des milliards de fois par minutes partout sur le globe considère leur prix comme étant la valeur de la dernière vente. De plus ce sont bien sur ses estimations de patrimoine que les banques leur prête de l'argent.

Tu construit une économie avec des règles différentes de celle en fonctionnement pour pouvoir dire que finalement ils ne possèdent pas ça. Mais dans le monde dans le quel nous sommes actuellement si.

Le fait que ça ne soit pas des liquidités ne change rien à l'affaire. Toi non plus tu ne peux pas sortir tout l'argent qu'il existe sur tout tes comptes comme tu le veux (si tu as un SEL, un PEL ou un livret A), c'est toute de même tes possessions.

Moi je dis qu'en plus d'être des valeurs effectives (que même eux ne remettent pas en cause - ils en ont besoin) ça cache l'apporte de pouvoir énorme que ça leur donne et qui n'a rien de linéaire il y a des effets de pallier. Donc que si on devrait améliorer la démarche ce n'est pas pour inventer une économie théorique dans le quel ils auraient le patrimoine qui t'arrange, mais pour mettre en lumière la puissance que ça leur donne.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Ok bien lu. Je ne vais pas continuer de polémiquer.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Par ailleurs, la proposition de tout fusionner sous l'égide de AOO, si ça doit résoudre des problèmes de licence autrement insolubles, me paraît acceptable. La "marque" OpenOffice restant toujours plus populaire que LibreOffice.

Ça rendrait forcément amer pas mal de gens chez LibO qui le verrait comme un échec.

D'un côté on demande à un projet de se saborder pour le bien de l'utilisateur, de l'autre côté on demande au projet de fusionner pour le bien de l'utilisateur.

Il est à noter que la marque Open Office appartient à la fondation Apache qui protégera sa marque. C'est une nécessité pour eux. Prenons comme exemple Cassandra une base de données chez Apache. Il y a une entreprise qui y contribue beaucoup, Datastax. Datastax n'a pas le droit d'utiliser le nom cassandra pour autre chose que Apache Cassandra dont le code est libre etc. Pour que Datastax ne puisse pas induire en erreur l'utilisateur. Il faudrait un accord particulier pour que la fondation cède les droits (pas impossible en soit).

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Bah, la richesse réelle c'est pas plus ou moins la quantité de biens et de services que tu peux te payer ?

Elle est bien pratique cette définition mais je ne trouve aucune référence sur internet. Elle est utilisée où ?

Parce que les dictionnaires français définissent la richesse sur ce que l'on possède. Le dollar (ou l'euro) dans le cas du patrimoine étant simplement une unité pivot.

Je suis d'accord pour dire qu'il est difficile de comparer leur patrimoine au revenu annuel de quelqu'un, mais je ne pense pas que ce soit dans le sens que tu le pretend.

Leur patrimoine leur permet d'utiliser des outils économiques qui sont hors de notre portée comme l'effet de levier ce qui leur permet de dégager des liquidités importantes sans toucher à leur patrimoine, ils peuvent aussi rendre impersonnel leurs bien, profitant ainsi systématiquement de la fiscalité la plus abordable quitte à changer le pays de leurs biens. Leur patrimoine leur donne aussi des armes politiques aux quels nous n'avons pas accès menaçant de partir par exemple mais pas seulement, ils peuvent aussi saboter le fonctionnement de l'Etat. Elon Musk a volontairement mis à mal un projet de train (l'aménagement du territoire est une fonction régalienne).

On est loin de surestimer ce que représente leur patrimoine.

Ou alors, ça serait des trucs profondément débiles, du genre "la totalité de la production de betteraves de 2022".

Aussi bête que : donner quelques millions au planning familial par exemple ? ?

Il semble que quand on cherche on peut trouver des choses à faire avec ce patrimoine.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Et dans ce cas là les mua te montrent un mot par ligne. Le destinataire ne peux pas choisir de regarder tout sur une même ligne.

J'ai vu des mua tenter de faire de l'interprétation (ignorer des retours à la ligne), mais c'est bien buguer parce que ce n'est pas trivial de distinguer ton cas de :

Entre deux Bourgeois d'une Ville
S'émut jadis un différend.
L'un était pauvre, mais habile,
L'autre riche, mais ignorant.
Celui-ci sur son concurrent
Voulait emporter l'avantage :
Prétendait que tout homme sage
Etait tenu de l'honorer. 

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

C’est quoi la richesse réelle ?

La richesse réelle, elle est dans le cœur. C'est pas l'argent qui fait le bonheur, tu sais. On est tous riches de toutes les expériences que la vie nous procure. S'arrêter au patrimoine de quelqu'un c'est bassement mercantile.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

should ≠ must
Une recommandation/incitation n'est pas une obligation mais doit pouvoir s'adapter aux contextes…

J'ai montré des exemples que c'était ce qui est pratiqué.

Je t'assure que je n'encode pas en base64 (il me suffit d'afficher le source de mes messages pour le vérifier)

Je veux bien voir un exemple pour comprendre du coup.

https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll