ah bon ?
les chats sont des terribles prédateurs, ils nuisent à la biodiversité (d'après le lien de barmic). J'en déduis que moins de chat c'est bien, et comme Dieu tue un chaton pour chaque curl|sh j'en conclu qu'il faut utiliser curl|sh pour une meilleurs biodiversité
C'est pas bien d'accord mais pour un projet débutant cela se comprends. Cela fait le job. En sois si l'URL est sécurisé (https et le site sur) ce n'est pas pire qu'un autre. Il faut juste ne pas faire confiance à n'importe quoi. On va dire que zed.dev est relativement fiable et s'il contenait un bloatware il y aurait déjà eu scandale.
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
Regarde bien le ticket et la discussion : Zed télécharge des binaires depuis plein d'endroits et les installent sans demander l'avis de l'utilisateur. Il prends du libre mais aussi du privateur, les dernières versions et pas les stables…
Bref, tu crois avoir un simple éditeur de texte et tu te retrouves avec un système d'installation à distance de paquets non sécurisé.
Zed est sans doute très optimisé, mais il faut le lancer dans un vm pour ne pas se faire trouer le slip…
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
Intéressant, mais un téléchargement façon repo "apt" ne te protège pas plus. Tu peux télécharger tous les binaires non libre possibles.
Il ne faut pas confondre 2 choses :
La sécurité d'un protocol de téléchargement/mise à jour qui repose sur la sécurisation et l'authentification de la connexion et sur la sécurisation du serveur hébergeur.
La sécurité du logiciel qui repose sur la confiance envers l'éditeur et les mainteneurs du logiciel.
Je parlais avant tout de la partie 1. Et pour ça "curl|sh" n'est pas tellement pire que "apt" (puisqu'avant en général tu ajoute une source "douteuse dans ton apt.list"). Apt apporte au moins 2 avantages tout de même :
La standardisation/maintenabilité ce qui permet une gestion des dépendance et de la désinstallation.
Normalement si tu télécharge un "virus" tu ne l'exécute pas avant de lancer le logiciel… sauf que si tu l'installe, c'est bien pour l'exécuter… Et encore, tu peux installer un démon ou avoir des scripts d'install…
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
L'histoire nous montre qu'il ne faut pas non plus trop surestimer les dépôts de distribution. Les distributions n'ont pas le loisir de vérifier la bonne foi des mainteneurs ou véritablement leur compétence et l'audit n'est pas la règle non plus.
Ça n'est pas une raison pour faire n'importe quoi, mais croire qu'on protégé parce quand on l'est pas "ça se voit" c'est s'exposer à des déconvenues.
C’est à l’image du reste de l’application. Tout est propre, tout est clean, il n’y a pas à se poser de question. On renseigne son compte copilot, on renseigne son compte github, et l’appli s’occupe de tout connecter pour nous.
On est très loin de l’éditeur qu’il faut configurer à la main pour obtenir ce que l’on veut, j’imagine que tout est pensé pour ça fonctionne dès que l’on lance l’application, mais je me rend compte que ça n’est pas pour moi. Je préfère garder un système plus rustique, mais que j’ai adapté à mes besoins et qui me correspond.
Bon… au final, comment est-ce que l’on désinstalle tout ça ?
# Oh non mon chaton !
Posté par devnewton 🍺 (site web personnel) . Évalué à 3.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Oh non mon chaton !
Posté par barmic 🦦 . Évalué à 2.
T'a quand même du choix https://zed.dev/docs/linux
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Oh non mon chaton !
Posté par devnewton 🍺 (site web personnel) . Évalué à 4. Dernière modification le 11 juillet 2024 à 14:09.
Dieu tue quand même un chaton pour chaque curl|sh, même s'il y a des alternatives (si c'est obligatoire, il tue aussi un chiot).
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Oh non mon chaton !
Posté par barmic 🦦 . Évalué à 1.
J'ai pas compris, c'est bien ou c'est mal
curl|sh
?https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Oh non mon chaton !
Posté par devnewton 🍺 (site web personnel) . Évalué à 5.
C'est Mal et c'est surtout un indicateur de développement insécurisé.
Très bon indicateur d'ailleurs: https://github.com/zed-industries/zed/issues/12589
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Oh non mon chaton !
Posté par Tit . Évalué à 4.
ah bon ?
les chats sont des terribles prédateurs, ils nuisent à la biodiversité (d'après le lien de barmic). J'en déduis que moins de chat c'est bien, et comme Dieu tue un chaton pour chaque curl|sh j'en conclu qu'il faut utiliser curl|sh pour une meilleurs biodiversité
[^] # Re: Oh non mon chaton !
Posté par abriotde (site web personnel, Mastodon) . Évalué à -1.
C'est pas bien d'accord mais pour un projet débutant cela se comprends. Cela fait le job. En sois si l'URL est sécurisé (https et le site sur) ce n'est pas pire qu'un autre. Il faut juste ne pas faire confiance à n'importe quoi. On va dire que zed.dev est relativement fiable et s'il contenait un bloatware il y aurait déjà eu scandale.
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
[^] # Re: Oh non mon chaton !
Posté par devnewton 🍺 (site web personnel) . Évalué à 5.
Regarde bien le ticket et la discussion : Zed télécharge des binaires depuis plein d'endroits et les installent sans demander l'avis de l'utilisateur. Il prends du libre mais aussi du privateur, les dernières versions et pas les stables…
Bref, tu crois avoir un simple éditeur de texte et tu te retrouves avec un système d'installation à distance de paquets non sécurisé.
Zed est sans doute très optimisé, mais il faut le lancer dans un vm pour ne pas se faire trouer le slip…
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Oh non mon chaton !
Posté par abriotde (site web personnel, Mastodon) . Évalué à 1.
Intéressant, mais un téléchargement façon repo "apt" ne te protège pas plus. Tu peux télécharger tous les binaires non libre possibles.
Il ne faut pas confondre 2 choses :
La sécurité d'un protocol de téléchargement/mise à jour qui repose sur la sécurisation et l'authentification de la connexion et sur la sécurisation du serveur hébergeur.
La sécurité du logiciel qui repose sur la confiance envers l'éditeur et les mainteneurs du logiciel.
Je parlais avant tout de la partie 1. Et pour ça "curl|sh" n'est pas tellement pire que "apt" (puisqu'avant en général tu ajoute une source "douteuse dans ton apt.list"). Apt apporte au moins 2 avantages tout de même :
La standardisation/maintenabilité ce qui permet une gestion des dépendance et de la désinstallation.
Normalement si tu télécharge un "virus" tu ne l'exécute pas avant de lancer le logiciel… sauf que si tu l'installe, c'est bien pour l'exécuter… Et encore, tu peux installer un démon ou avoir des scripts d'install…
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
[^] # Re: Oh non mon chaton !
Posté par devnewton 🍺 (site web personnel) . Évalué à 3.
Oui si tu ajoutes un dépôt APT trouvé sur un forum birman dédié aux cryptomonnaies, c'est pas mieux que curl|sh :-)
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Oh non mon chaton !
Posté par barmic 🦦 . Évalué à 2.
L'histoire nous montre qu'il ne faut pas non plus trop surestimer les dépôts de distribution. Les distributions n'ont pas le loisir de vérifier la bonne foi des mainteneurs ou véritablement leur compétence et l'audit n'est pas la règle non plus.
Ça n'est pas une raison pour faire n'importe quoi, mais croire qu'on protégé parce quand on l'est pas "ça se voit" c'est s'exposer à des déconvenues.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Oh non mon chaton !
Posté par chimrod (site web personnel) . Évalué à 3.
C’est à l’image du reste de l’application. Tout est propre, tout est clean, il n’y a pas à se poser de question. On renseigne son compte copilot, on renseigne son compte github, et l’appli s’occupe de tout connecter pour nous.
On est très loin de l’éditeur qu’il faut configurer à la main pour obtenir ce que l’on veut, j’imagine que tout est pensé pour ça fonctionne dès que l’on lance l’application, mais je me rend compte que ça n’est pas pour moi. Je préfère garder un système plus rustique, mais que j’ai adapté à mes besoins et qui me correspond.
Bon… au final, comment est-ce que l’on désinstalle tout ça ?
[^] # Re: Oh non mon chaton !
Posté par lolop (site web personnel) . Évalué à 1.
sudo rm -rf /
(c'est une blague - mieux vaut prévenir,sait-on jamais…)
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.