Ce n'est pas parce qu'il existe une faille qu'elle est exploitable à distance, qu'elle permet de tout faire ni qu'elle est simple à diffuser.
Je n'ai pas dit qu'une faille ne pouvait pas être exploitée facilement à distance. Je dis uniquement que découvrir une faille ne signifie pas :
Qu'elle soit exploitable à distance ;
Qu'elle soit simple à exploiter ;
Qu'elle permette d'exécuter réellement tout ce que tu veux.
Mais tu as des failles qui répondent à ces trois cas (ce que tu montres a au moins deux caractéristiques), mais c'est plutôt rare en fait (beaucoup nécessitent beaucoup de temps pour en tirer profit ce qui limite son utilisation).
Et on en a la preuve tous les jours, malgré des failles à foison due en partie à des mises à jour non appliquées (Android, Windows, Flash Player, vieilles distro qui trainent, etc.) on est loin d'avoir une exploitation de failles si globale. Car ce n'est pas si simple et que découvrir une faille ne signifie pas qu'elle sera effectivement exploitée.
Ce n'est pas parce qu'il existe une faille qu'elle est exploitable à distance, qu'elle permet de tout faire ni qu'elle est simple à diffuser.
Beaucoup d'utilisateurs d'Android installent des applications provenant de sources pas trop dégueulasses (ce qui limite le risque de diffusion d'un virus par ce biais). L’hétérogénéité du parc joue aussi comme une force (à défaut d'être tous à jour) car les versions des composants du système diffèrent fortement d'un Android à l'autre (pas le même noyau, pas la même surcouche, pas les mêmes composants de base d'Android, etc.) ce qui rend une attaque générique plus délicate.
Puis le système Android a de nombreuses protections à l'aide de seccomp, l'isolation des applications, SELinux, etc. Une faille fait donc moins de dégâts et peut difficilement rebondir ailleurs.
Bref, la situation d'Android en terme de mise à jour du parc est une catastrophe, c'est certain. Mais le fait que les attaques d'envergure soient rares voire absentes montre que la situation n'est pas si catastrophique non plus car le système a de nombreuses protections préventives. Et que de toute façon exploiter une faille c'est loin d'être si simple.
donc je soupconne que pas mal de serveurs vont redemarrer bientot et foutre ne l'air de beau uptime ;)
Si la sécurité comptait vraiment, l'uptime ne devrait pas être élevé pour justement appliquer les MaJ de sécurité qui le nécessitent (et il y en a régulièrement).
Aujourd'hui un gros uptime est mauvais signe pour la sécurité de l'infrastructure.
Le fait est que Microsoft ne s’embête plus à prendre le risque d'innover (et donc d'utiliser cette technique)
Zut, leurs laboratoires de recherches super réputés n'est donc qu'un mythe.
Microsoft n'est plus une startup, avant de lancer un produit il y a des tas de procédures et de tests pour éviter de lancer un truc trop mal ficelé dès le départ. Cela les rend plus lent mais toute grande structure connaît cela.
ils préfèrent attendre qu'une autre boîte fasse le travail d'Embrace, Extend, Extinguish à leur place pour ensuite l'acheter une bouchée de pain (vis à vis du potentiel du produit).
On attend toujours un exemple concret de cette stratégie. Depuis l'affaire OOXML il n'y a rien de notable à ce niveau.
Skype ne respecte aucun standard de communication mais c'est vrai qu'ils n'ont jamais été interopérable non plus, ils sont directement passé à l'absence d'interopérabilité.
Bah oui, du coup ce n'est pas la stratégie de EEE, c'est juste du proprio de bout en bout. Génial. Dans ce cas toute entreprise qui fait du proprio fait du EEE. Cela n'a pas de sens.
EEE est une stratégie précise, qui fonctionne très bien car justement cela suit ces étapes. Si tu n'as pas l'extend, le reste n'est absolument pas pareil.
L'education est UNE des solutions mais malheureusement c'est tres loin d'etre le cas quand les citoyens ne veulent pas etre eduques (et il y en a beaucoup).
Pour abonder dans ton sens, il ne faut pas oublier que :
Les techniques de manipulation des menteurs via des arguments fallacieux ou autres sont vraiment efficaces. Même si tu les connais, les identifier et les contre carrer demande des efforts quand tu les perçois.
Certains de nos concitoyens malgré une bonne éducation scolaire n'auront pas forcément les résultats escomptés : environnement familial / amical, défaillances intellectuelles, etc. Ça pèse beaucoup.
Certains malgré une éducation et des aptitude intellectuelle suffisante sont vulnérables à ces discours : ceux en marge de la société (comme les prisonniers), ayant une idéologie sous-jacente importante, etc.
L'éducation ne suffit pas pour résoudre ce problème bien qu'il soit un facteur de résolution.
La liberté d'expression ne doit pas être absolue à cause de cela (et à dire vrai, quel peut être l'intérêt de pouvoir insulter un individu, appeler à la haine ou au meurtre, etc. ?). Il faut que les limites soient claires, raisonnables (on a le droit de pouvoir critiquer le pouvoir en place) et qu'une sanction ne puisse être prononcée que par un juge avec un procès équitable pour limiter l'arbitraire de la décision.
Dans ces cas là, je ne vois pas de soucis à une limitation de la liberté d'expression raisonnable.
Notons que l'argument de l'éducation pourrait être utilisé pour abolir les lois contre les escroqueries, les contrats abusifs (suffisait de réfléchir avant de signer), contre les violations du code de la route (suffit d'apprendre à bien conduire !), etc. On voit bien qu'utiliser l'éducation comme rempart contre la bêtise ou la malhonnêteté a ses limites.
Et si tu lis au-delà du rapport de bug initial, tu verras que DoNotTrack est respecté puisqu’il n’y a pas de tracking (suivi) de l’utilisateur, uniquement de la collecte anonymisée à des fins statistiques pour Mozilla.
Le soucis est pourquoi ces données sont collectées par Analytics alors qu'il y a des alternatives ?
Je veux dire, pour l'usage de Mozilla, Piwik ou d'autres solutions libres, similaires et auto hébergées sont disponibles. Et s'il y a un manque, ils peuvent contribuer, ils avaient le temps de le faire.
C'est une question de cohérence. Et la vie privée et sécurité sont des sujets ayant besoin de confiances. Ils ne peuvent se permettre de cracher sur Google ou similaires et leur politique puis utiliser leur service en même temps. Cela entraîne une perte de confiance dans leur discours et action.
Note, cela ne m'empêche pas d'apprécier Mozilla et leurs logiciels. Mais j'apprécierais beaucoup qu'ils corrigent ce genre de choses. Ils ne peuvent que gagner en faisant cela.
le support de la compilation croisée, y compris vers Windows (--build=x86_64-slackware-linux --host=i686-mingw32) ;
Étant développeur système embarqué, ayant touché pas mal à Yocto et buildroot, il est claire qu'autotools est clairement le plus simple pour cet usage. Ajouter un nouveau paquet autotools est d'une très grande simplicité.
Quand tu vois que Windows 10 pompe tout le débit réseau quand il fait ces mises à jour et que l'option pour réduire a mis 3 ans à venir
C'est regrettable, et alors ?
Le produit parfait n'existant pas, reprocher une fonctionnalité manquante (que d'ailleurs la concurrence ne propose souvent pas non plus) n'apporte rien.
Car oui, graphiquement, pas moyen globalement sous Linux, macOS, iOS ou Android de limiter le débit pour les MaJ. Par défaut c'est à fond les ballons.
que les gens achètent des tablettes pour éviter d'acheter un PC avec Windows 10
Tu mélanges pas mal de choses.
Les tablettes sont déjà souvent un complément d'un PC (la plupart des foyers avec une tablette ont aussi des PCs) et cela ne signifie pas que c'est un rejet de Windows 10 lui même, mais éventuellement du concept de PC (lourd et cher).
D'ailleurs les tablettes sont depuis un an ou deux sur le déclin. Preuve que ce n'est pas le nouvel eldorado prédit par trop de monde, mais comme souvent sur de mauvaises bases.
les réticents à LibreOffice commencent à changer d'avis
Sources ?
que Microsoft a été obligé de baser Azure sur du Linux et implémenter un sous-système Linux dans Windows
Je ne vois aucune obligation. Ils ont fait des choix techniques et commerciaux.
Microsoft comme tout le monde ne peut tout produire en interne et avoir la solution idéale en toute situation.
Utiliser partiellement une solution concurrente n'a rien de choquant. Ils utilisent aussi git en interne et cela n'a rien de scandaleux non plus. Ni un témoin d'un échec de la boîte.
moi je dis que Microsoft est en train de mourir par la force des choses.
Tu n'es pas un bon analyste économique ou commercial.
Microsoft a une santé financière et commerciale insolente. Ils ne sont clairement pas sur un déclin global. Ils ont, comme toute boîte des déclins locaux. Microsoft se recentre sur ses forces et sur le service et laisse tomber ce qui n'a que peu de valeurs ou ce qui a été un échec pour eux. C'est un comportement sain. Ils sont justement en train de réussir à changer de méthodes.
Microsoft est d'ailleurs assez diversifié pour survivre à des changements de marché ce qui est là encore une force intéressante. Ils ont en effet Windows, Microsoft Office, la Xbox, Azure, etc. Apple par exemple a un succès commercial qui ne repose que sur l'iPhone (les Mac ce n'est pas un gros volume et a des marges plus faibles, et l'iPad comme tout le secteur des tablettes est sur le déclin). Et globalement Apple Music, Apple Store ou Apple Cloud reposent sur la vente d'iPhone aussi. Si demain Apple loupe le coche du mobile (comme Nokia en son temps) cela fera très mal. Bien plus mal que Microsoft aurait par une chute des ventes de Windows ou d'un autre secteur où Microsoft est présent.
les positions de Stallman étant radicales, son discours ne peut être entendu/accepté par un grand nombre.
Le problème n'est pas tellement le point de vue radicale de RMS sur le LL qui pose soucis, moi j'en vois plein d'autres qui rebutent beaucoup de gens :
Déjà ces conférences sont assez similaires d'une conf ou d'une année à l'autre, tu en as vu quelques unes et tu les as toutes vues. Ce n'est pas une bonne stratégie de com' (d'autant qu'il n'est pas en soi un grand orateur non plus) ;
Stallman a un caractère assez particulier et son intransigeance avec les médias (sur notamment le média à utiliser pour rediffuser un entretien) est contre productive ;
Stallman crée des polémiques et essaye de garder un contrôle là où ce n'est pas nécessaire ce qui met des gens contre lui. Voir les polémiques récurrentes sur le développement d'Emacs, GCC ou Hurd… alors qu'il ne code plus et que ce sont des détails.
Et je passe outre sa communication au quotidien, globalement depuis quelques années tous ces courriels (du moins publics) débutent par :
[[[ To any NSA and FBI agents reading my email: please consider ]]]
[[[ whether defending the US Constitution against all enemies, ]]]
[[[ foreign or domestic, requires you to follow Snowden's example. ]]]
Et sa signature contient :
Skype: No way! That's nonfree (freedom-denying) software.
C'est typique du genre de propos inutiles, qui ajoutent de la pollution visuelle pour rien (tu crois que sur la liste d'Emacs on s'attend de lui qu'il ait Skype et qu'on s'en préoccupe ?) Tu crois que des employés de la NSA vont être convaincus par son entête ? Sérieusement ? Et cela traduit très clairement que RMS est mauvais en com' et n'est pas socialement apte.
Puis RMS au lieu d'essayer de réunir, il fragmente la communauté. Suffit de voir les crises quand on parle d'OpenSource au lieu de libre, de Linux au lieu de GNU/Linux ou du fait qu'il insiste pour dire que le choix de licence de CLang (MIT) est nuisible et que GPL aurait été un meilleur choix et que c'est pour ça qu'on doit utiliser GCC. Pourtant CLang est un LL de qualité, on devrait s'en réjouir.
Bref, intransigeance de RMS n'est pas vraiment le soucis. De ce que j'ai listé plus haut il semble que RMS a un soucis d'égo, n'est pas un bon communicant, a du mal à travailler en équipe ou du moins à confier le bébé et cherche plus à souligner les différences que ce qui rassemble (comportement typique des courants idéologiques ou politiques, mais ce n'est pas comme ça que la com' fonctionne bien).
L'ensemble rend l'action de RMS, à la tête du mouvement du LL, assez nuisible au développement idéologique de ce qu'il promeut. Et c'est regrettable.
Une machine virtuelle permet d'éviter entre autres les problèmes de pointeur, à part si elle a elle-même une faille.
Cela n'a rien à voir, tu peux avoir une machine virtuelle tout en gardant des pointeurs et inversement. La machine virtuelle a comme avantage d'être une autre couche d'abstraction pour les applications que le système d'exploitation. Ainsi une application compilée pour Linux ARM peut fonctionner sans changement sur Windows x86. La seule contrainte est d'avoir la machine virtuelle qui gère ces changements.
Niveau sécurité une machine virtuelle n'apporte pas plus de garanties théoriques. Mais comme une machine virtuelle en théorie est très utilisée et testée cela limite les risques.
Déjà quand il faut attendre la fin des mises à jour pour que le PC finisse de s'éteindre, ça donne envie à certaines personnes de ne pas faire les mises à jour de l'OS pour ne pas avoir ce tracas.
N'en déplaise, la gestion des mises à jour à froid (à l'extinction ou à l'allumage de la machine) est la meilleure option. Mettre à jour le système ou une application à chaud est le meilleur moyen d'avoir des soucis, bogues étranges non reproductibles divers et variés. Car ta mémoire et ton système ne seront pas dans un état cohérent et minimal (pour éviter qu'une mise à jour foire, il faut un minimum de concurrence d'accès et de dépendances aux différentes ressources).
Au passage, je ne peux m'empêcher d'y voir un contresens quand on me parle de sécurité et qu'on me renvoie vers un site web qui oblige à exécuter un code tiers (ici du JavaScript) pour consulter le contenu, sans compter qu'il y en a en plus venant de Google.
Cela n'a pas grand chose à voir avec la sécurité mais avec la vie privée. Il n'y a pas vraiment d'incohérence donc.
Ce n'était pas vraiment le propos de mon questionnement …
Mais quel est ton questionnement, alors ?
En gros tu as juste expliqué la licence CC qu'ils ont choisi et en quoi économiquement cela faisait sens pour eux.
Mais ces sujets n'ont jamais été l'objet de la polémique. La polémique était sur le fait que le produit était présenté comme OpenSource ce qui est factuellement faux. Personne n'a dit que la CC choisie était le diable incarné et n'avait pas plus d'intérêt qu'un truc totalement fermé.
En gros ton journal enfonce un peu des portes ouvertes pour des habitués de la question. Je ne vois pas où est le questionnement et ce que tu espérais comme commentaires. Pour moi très clairement cela ne pouvait que revenir sur le sujet de la polémique du précédent journal.
Si on coupe l'accès aux contacts dans le "support android", K9 mail ne fonctionne plus correctement. Un jour j'avais désactivé cette autorisation par inadvertance et j'ai mis un peu de temps à comprendre pourquoi k9mail ne fonctionnait pas bien ^
Je ne vois pas pourquoi ça irait mieux avec un Android où tu coupes l'autorisation à l'application seule dans ce cas.
Pour le noyau, je ne visais pas mon Jolla 1 mais plutôt les Xperia X.
Le problème est hélas le même partout. Le seul espoir est que le fondeur de la puce fasse la MaJ ou 'lait proposé au noyau officiel (avec toutes les fonctionnalités bien sûr) mais je n'ai jamais vu un tel cas.
Pour le Jolla/Sailfish OS nous en sommes juste à ce que faisait Android dans les anciennes versions. Il faut donc être prudent dans ce que l'on installe.
Deux points que Jolla apporte tout de même :
On peut couper la machine virtuelle Android quand tu veux (donc couper une éventuelle tâche de fond cachée quand tu n'en as pas besoin) ;
On peut couper l'accès aux contacts aux applications Android mais en mode tout ou rien, dans ce cas aucune application n'a accès à tes contacts ou toutes.
un nouveau noyau (3.8 ou 3.14 actuellement).
J'en doute, la version du noyau est fortement couplée au choix du processeur sous-jacent comme pour Android. Peu probable d'avoir une mise à jour du noyau sans utiliser un nouveau matériel.
Privacy is a key benefit of Sailfish OS and we are continuously improving the security of the OS. During the first half of the year, we’ll be adding memory card encryption, filesystem encryption, and email encryption. In the second half we will continue to improve security frameworks of the OS, and adding more security features like improved VPN support.
Pas de doute, cela concerne effectivement le chiffrement du courriel, mais aussi de la carte mémoire et du système. C'est donc bien prévu.
Est-ce que des lecteurs ont un téléphone qui fonctionne avec Sailfish pour obtenir leur avis et retour d'expérience ? J'utilise le téléphone de façon très basique (téléphone, mail, internet et GPS) pour le travail et un usage perso. Le partage de connexion internet avec le PC est néanmoins indispensable
J'utilise le système au quotidien depuis fin 2014, sur Jolla puis le Jolla C.
Comme toi, je n'en ai pas besoin d'un téléphone avec beaucoup trop de fonctions. Les usages de base me conviennent. Et globalement j'en suis très content.
Contrairement à la plupart de systèmes alternatifs, Sailfish OS propose l'émulation Android (du moins pour les systèmes officiels, pas les ports communautaires) ce qui permet de combler la logithèque si quelque chose manque. Cela fonctionne très bien, par exemple Firefox, F-Droid ou Google Maps tournent vraiment bien dessus. Mais comme ce n'est pas un Android officiel, certaines applications refuseront de tourner dessus comme celles des banques, Google Store, etc. Raison de sécurité.
Le partage de la connexion Internet fonctionne très bien. Le VPN natif aussi.
Globalement je résumerais ainsi.
Bien :
* Émulation Android si besoin ;
* Applications de base fonctionnelles, sans superflus ;
* Mises à jour tous les 2-3 mois, même pour le premier téléphone Jolla qui a pourtant 4-5 ans dans les pattes ;
* Interface agréable (sur base de gestes) et jolie ;
* Tout se code en Qt / C++ avec un SDK VirtualBox très fonctionnel (cela change du développement Android qui n'est pas très agréable selon moi).
Inconvénients :
* Pas d'application GPS native, tu dois chercher une application Android pour ça (mais ça fonctionne bien) ;
* Certaines applications Android ne fonctionnent pas comme celles des banques car ce n'est pas un Android certifié ;
* Certaines fonctionnalités essentielles arriveront plus tard, comme le chiffrement cette année ;
* Pas facile à se procurer un modèle supporté officiellement ;
* N'est pas libre, malgré des promesses répétées en ce sens beaucoup de code n'est pas encore libéré (globalement ce qui est haut niveau comme le moteur de rendu de l'interface utilisateur).
Bref, pas mal de communiqués de presses qui usent du terme OpenSource qui je pense ne sort pas de nul part sinon ce serait étrange.
D'ailleurs NextInpact précise bien que ce n'est pas de l'OpenSource en réalité et un des employés le confirme. Il ne s'est pas retranché sur le fait que ce terme n'a jamais été employé de leur part. Et je doute que NextInpact aurait crée se débat si Numworks n'avait jamais abordé ce terme.
Bref, cela ne fait que de confirmer une tendance de fond de communication de leur part sur le sujet, du moins par le passé et cela continue aujourd'hui parce que pas tout le monde a eu le droit à cette rectification.
Vous mettez au meme niveau le fait de mettre a disposition des sources sous une licence qui n'autorise pas la rediffusion commercial et uniquement cela avec un truc completement ferme.
C'est une question de définition.
Un rectangle n'est pas un carré, même s'il est plus proche du carré que le trapèze cela ne le rend pas carré pour autant.
Numworks ne répondant pas à tout les critères, il n'est pas libre. Il offre des libertés qu'un logiciel proprio n'offre pas forcément, mais cela ne rend pas libre. C'est tout l'intérêt d'avoir des définitions précises pour permettre de discuter sans quiproquo.
Au fait peux tu montrer sur le site de numworks ou ils mentionnent les 4 libertes de la FSF voir tout simplement que leur calculatrice est libre?
C'est le gars qui a fait ce journal qui a qualifié cela d'OpenSource (et la discussion sur la notion de libre est la même que celle sur OpenSource). Donc soit Numworks a communiqué (dans le passé ou ailleurs) ainsi, ou le gars a inventé cela de lui même mais peut importe : il ne faut pas mal nommer les choses.
Disons que tu dis : c'est libre sauf pour si ou ça.
C'est libre ou cela ne l'est pas. C'est tout.
Tu peux dire que ces libertés sont mieux que rien mais dans un débat où l'étymologie a son importance ta formulation induit en erreur et fausse le débat. D'autant que Zenitram depuis le début ne dit pas que ces libertés ne servent à rien, mais que cela ne suffit pas pour dire que c'est libre ou OpenSource (car cela ne l'est pas évidemment).
Tu essayes de te rattraper peu à peu à coup de reformulation, mais le fond du débat ne change pas : ce n'est pas libre et communiquer sur le sujet pour Numwork est une erreur.
Sauf que les dispositions de la licence BSD que tu cites sont compatibles avec les 4 libertés de la FSF (et les 10 critères de l'OSI pour l'OpenSource).
Donc ils sont libres, alors que Numwork a des contradiction avec les éléments des définitions évoquées plus haut, d'où le non libre…
Je rappel que les lobbys cela concerne aussi des associations. L'April ou Greenpeace sont aussi des lobbys.
Certains ont les moyens de payer des restos aux députés pour discuter peinards
Ouais enfin si payer un resto est le moyen le plus efficace de discuter et de convaincre un député, rassure toi, n'importe quelle association sérieuse (voire une poignée de citoyens) ont les moyens de le faire…
L'avantage d'avoir de l'argent n'est pas tellement là, c'est que tu as surtout des gens à plein temps pour contacter, discuter et produire du contenu (outil de promotion voire sujets de lois complets) avec des gens qualifiés en terme de négociations, en droit et communication.
[^] # Re: Et pourtant
Posté par Renault (site web personnel) . En réponse au journal Rumeurs sur l'hyper-threading - TLBleed . Évalué à 6. Dernière modification le 27 juin 2018 à 13:54.
Tu me fais dire ce que je n'ai pas dit.
Ce que j'ai dit est comme tu l'as cité :
Je n'ai pas dit qu'une faille ne pouvait pas être exploitée facilement à distance. Je dis uniquement que découvrir une faille ne signifie pas :
Mais tu as des failles qui répondent à ces trois cas (ce que tu montres a au moins deux caractéristiques), mais c'est plutôt rare en fait (beaucoup nécessitent beaucoup de temps pour en tirer profit ce qui limite son utilisation).
Et on en a la preuve tous les jours, malgré des failles à foison due en partie à des mises à jour non appliquées (Android, Windows, Flash Player, vieilles distro qui trainent, etc.) on est loin d'avoir une exploitation de failles si globale. Car ce n'est pas si simple et que découvrir une faille ne signifie pas qu'elle sera effectivement exploitée.
[^] # Re: C'est faux
Posté par Renault (site web personnel) . En réponse au journal Surface d'attaque des serveurs dans les nuages (cloud). Évalué à 3.
Il n'empêche que les conteneurs reposent sur un noyau commun. Une faille dedans exploitée et tes accès sont bien plus larges que ton conteneur.
Avec une VM l'isolation est plus stricte rendant la sortie de la machine virtuelle moins probable.
[^] # Re: Et pourtant
Posté par Renault (site web personnel) . En réponse au journal Rumeurs sur l'hyper-threading - TLBleed . Évalué à 7.
Ce n'est pas parce qu'il existe une faille qu'elle est exploitable à distance, qu'elle permet de tout faire ni qu'elle est simple à diffuser.
Beaucoup d'utilisateurs d'Android installent des applications provenant de sources pas trop dégueulasses (ce qui limite le risque de diffusion d'un virus par ce biais). L’hétérogénéité du parc joue aussi comme une force (à défaut d'être tous à jour) car les versions des composants du système diffèrent fortement d'un Android à l'autre (pas le même noyau, pas la même surcouche, pas les mêmes composants de base d'Android, etc.) ce qui rend une attaque générique plus délicate.
Puis le système Android a de nombreuses protections à l'aide de seccomp, l'isolation des applications, SELinux, etc. Une faille fait donc moins de dégâts et peut difficilement rebondir ailleurs.
Bref, la situation d'Android en terme de mise à jour du parc est une catastrophe, c'est certain. Mais le fait que les attaques d'envergure soient rares voire absentes montre que la situation n'est pas si catastrophique non plus car le système a de nombreuses protections préventives. Et que de toute façon exploiter une faille c'est loin d'être si simple.
[^] # Re: HT et performances...
Posté par Renault (site web personnel) . En réponse au journal Rumeurs sur l'hyper-threading - TLBleed . Évalué à 8.
Si la sécurité comptait vraiment, l'uptime ne devrait pas être élevé pour justement appliquer les MaJ de sécurité qui le nécessitent (et il y en a régulièrement).
Aujourd'hui un gros uptime est mauvais signe pour la sécurité de l'infrastructure.
[^] # Re: D'accord avec tes conclusions
Posté par Renault (site web personnel) . En réponse au journal France Culture: que reste-t-il du logiciel libre ?. Évalué à 6.
Zut, leurs laboratoires de recherches super réputés n'est donc qu'un mythe.
Microsoft n'est plus une startup, avant de lancer un produit il y a des tas de procédures et de tests pour éviter de lancer un truc trop mal ficelé dès le départ. Cela les rend plus lent mais toute grande structure connaît cela.
On attend toujours un exemple concret de cette stratégie. Depuis l'affaire OOXML il n'y a rien de notable à ce niveau.
Bah oui, du coup ce n'est pas la stratégie de EEE, c'est juste du proprio de bout en bout. Génial. Dans ce cas toute entreprise qui fait du proprio fait du EEE. Cela n'a pas de sens.
EEE est une stratégie précise, qui fonctionne très bien car justement cela suit ces étapes. Si tu n'as pas l'extend, le reste n'est absolument pas pareil.
[^] # Re: Ne jamais abandonner
Posté par Renault (site web personnel) . En réponse à la dépêche L’Internet libre et ouvert est en danger : vous pouvez arrêter ce désastre. Évalué à 8.
Pour abonder dans ton sens, il ne faut pas oublier que :
L'éducation ne suffit pas pour résoudre ce problème bien qu'il soit un facteur de résolution.
La liberté d'expression ne doit pas être absolue à cause de cela (et à dire vrai, quel peut être l'intérêt de pouvoir insulter un individu, appeler à la haine ou au meurtre, etc. ?). Il faut que les limites soient claires, raisonnables (on a le droit de pouvoir critiquer le pouvoir en place) et qu'une sanction ne puisse être prononcée que par un juge avec un procès équitable pour limiter l'arbitraire de la décision.
Dans ces cas là, je ne vois pas de soucis à une limitation de la liberté d'expression raisonnable.
Notons que l'argument de l'éducation pourrait être utilisé pour abolir les lois contre les escroqueries, les contrats abusifs (suffisait de réfléchir avant de signer), contre les violations du code de la route (suffit d'apprendre à bien conduire !), etc. On voit bien qu'utiliser l'éducation comme rempart contre la bêtise ou la malhonnêteté a ses limites.
[^] # Re: Pas proche de l'utilisateur final ?
Posté par Renault (site web personnel) . En réponse au journal France Culture: que reste-t-il du logiciel libre ?. Évalué à 10.
Le soucis est pourquoi ces données sont collectées par Analytics alors qu'il y a des alternatives ?
Je veux dire, pour l'usage de Mozilla, Piwik ou d'autres solutions libres, similaires et auto hébergées sont disponibles. Et s'il y a un manque, ils peuvent contribuer, ils avaient le temps de le faire.
C'est une question de cohérence. Et la vie privée et sécurité sont des sujets ayant besoin de confiances. Ils ne peuvent se permettre de cracher sur Google ou similaires et leur politique puis utiliser leur service en même temps. Cela entraîne une perte de confiance dans leur discours et action.
Note, cela ne m'empêche pas d'apprécier Mozilla et leurs logiciels. Mais j'apprécierais beaucoup qu'ils corrigent ce genre de choses. Ils ne peuvent que gagner en faisant cela.
[^] # Re: Une défense des autotools
Posté par Renault (site web personnel) . En réponse au journal Un petit tour des systèmes de build. Évalué à 6.
Étant développeur système embarqué, ayant touché pas mal à Yocto et buildroot, il est claire qu'autotools est clairement le plus simple pour cet usage. Ajouter un nouveau paquet autotools est d'une très grande simplicité.
[^] # Re: que reste-t-il du logiciel libre ?
Posté par Renault (site web personnel) . En réponse au journal France Culture: que reste-t-il du logiciel libre ?. Évalué à 6.
C'est regrettable, et alors ?
Le produit parfait n'existant pas, reprocher une fonctionnalité manquante (que d'ailleurs la concurrence ne propose souvent pas non plus) n'apporte rien.
Car oui, graphiquement, pas moyen globalement sous Linux, macOS, iOS ou Android de limiter le débit pour les MaJ. Par défaut c'est à fond les ballons.
Tu mélanges pas mal de choses.
Les tablettes sont déjà souvent un complément d'un PC (la plupart des foyers avec une tablette ont aussi des PCs) et cela ne signifie pas que c'est un rejet de Windows 10 lui même, mais éventuellement du concept de PC (lourd et cher).
D'ailleurs les tablettes sont depuis un an ou deux sur le déclin. Preuve que ce n'est pas le nouvel eldorado prédit par trop de monde, mais comme souvent sur de mauvaises bases.
Sources ?
Je ne vois aucune obligation. Ils ont fait des choix techniques et commerciaux.
Microsoft comme tout le monde ne peut tout produire en interne et avoir la solution idéale en toute situation.
Utiliser partiellement une solution concurrente n'a rien de choquant. Ils utilisent aussi git en interne et cela n'a rien de scandaleux non plus. Ni un témoin d'un échec de la boîte.
Tu n'es pas un bon analyste économique ou commercial.
Microsoft a une santé financière et commerciale insolente. Ils ne sont clairement pas sur un déclin global. Ils ont, comme toute boîte des déclins locaux. Microsoft se recentre sur ses forces et sur le service et laisse tomber ce qui n'a que peu de valeurs ou ce qui a été un échec pour eux. C'est un comportement sain. Ils sont justement en train de réussir à changer de méthodes.
Microsoft est d'ailleurs assez diversifié pour survivre à des changements de marché ce qui est là encore une force intéressante. Ils ont en effet Windows, Microsoft Office, la Xbox, Azure, etc. Apple par exemple a un succès commercial qui ne repose que sur l'iPhone (les Mac ce n'est pas un gros volume et a des marges plus faibles, et l'iPad comme tout le secteur des tablettes est sur le déclin). Et globalement Apple Music, Apple Store ou Apple Cloud reposent sur la vente d'iPhone aussi. Si demain Apple loupe le coche du mobile (comme Nokia en son temps) cela fera très mal. Bien plus mal que Microsoft aurait par une chute des ventes de Windows ou d'un autre secteur où Microsoft est présent.
[^] # Re: Le libre dans mon travail
Posté par Renault (site web personnel) . En réponse au journal France Culture: que reste-t-il du logiciel libre ?. Évalué à 10. Dernière modification le 15 juin 2018 à 13:12.
Le problème n'est pas tellement le point de vue radicale de RMS sur le LL qui pose soucis, moi j'en vois plein d'autres qui rebutent beaucoup de gens :
Et je passe outre sa communication au quotidien, globalement depuis quelques années tous ces courriels (du moins publics) débutent par :
Et sa signature contient :
C'est typique du genre de propos inutiles, qui ajoutent de la pollution visuelle pour rien (tu crois que sur la liste d'Emacs on s'attend de lui qu'il ait Skype et qu'on s'en préoccupe ?) Tu crois que des employés de la NSA vont être convaincus par son entête ? Sérieusement ? Et cela traduit très clairement que RMS est mauvais en com' et n'est pas socialement apte.
Puis RMS au lieu d'essayer de réunir, il fragmente la communauté. Suffit de voir les crises quand on parle d'OpenSource au lieu de libre, de Linux au lieu de GNU/Linux ou du fait qu'il insiste pour dire que le choix de licence de CLang (MIT) est nuisible et que GPL aurait été un meilleur choix et que c'est pour ça qu'on doit utiliser GCC. Pourtant CLang est un LL de qualité, on devrait s'en réjouir.
Bref, intransigeance de RMS n'est pas vraiment le soucis. De ce que j'ai listé plus haut il semble que RMS a un soucis d'égo, n'est pas un bon communicant, a du mal à travailler en équipe ou du moins à confier le bébé et cherche plus à souligner les différences que ce qui rassemble (comportement typique des courants idéologiques ou politiques, mais ce n'est pas comme ça que la com' fonctionne bien).
L'ensemble rend l'action de RMS, à la tête du mouvement du LL, assez nuisible au développement idéologique de ce qu'il promeut. Et c'est regrettable.
[^] # Re: Déplorable
Posté par Renault (site web personnel) . En réponse à la dépêche Utiliser son Android de façon plus sécurisée. Évalué à 6.
Cela n'a rien à voir, tu peux avoir une machine virtuelle tout en gardant des pointeurs et inversement. La machine virtuelle a comme avantage d'être une autre couche d'abstraction pour les applications que le système d'exploitation. Ainsi une application compilée pour Linux ARM peut fonctionner sans changement sur Windows x86. La seule contrainte est d'avoir la machine virtuelle qui gère ces changements.
Niveau sécurité une machine virtuelle n'apporte pas plus de garanties théoriques. Mais comme une machine virtuelle en théorie est très utilisée et testée cela limite les risques.
N'en déplaise, la gestion des mises à jour à froid (à l'extinction ou à l'allumage de la machine) est la meilleure option. Mettre à jour le système ou une application à chaud est le meilleur moyen d'avoir des soucis, bogues étranges non reproductibles divers et variés. Car ta mémoire et ton système ne seront pas dans un état cohérent et minimal (pour éviter qu'une mise à jour foire, il faut un minimum de concurrence d'accès et de dépendances aux différentes ressources).
Cela n'a pas grand chose à voir avec la sécurité mais avec la vie privée. Il n'y a pas vraiment d'incohérence donc.
[^] # Re: Libre diffusion ≠ Libre
Posté par Renault (site web personnel) . En réponse au journal Retour sur la licence de NumWorks. Évalué à 8.
Mais quel est ton questionnement, alors ?
En gros tu as juste expliqué la licence CC qu'ils ont choisi et en quoi économiquement cela faisait sens pour eux.
Mais ces sujets n'ont jamais été l'objet de la polémique. La polémique était sur le fait que le produit était présenté comme OpenSource ce qui est factuellement faux. Personne n'a dit que la CC choisie était le diable incarné et n'avait pas plus d'intérêt qu'un truc totalement fermé.
En gros ton journal enfonce un peu des portes ouvertes pour des habitués de la question. Je ne vois pas où est le questionnement et ce que tu espérais comme commentaires. Pour moi très clairement cela ne pouvait que revenir sur le sujet de la polémique du précédent journal.
[^] # Re: Retour d'expérience
Posté par Renault (site web personnel) . En réponse au journal Sortie de Sailfish OS 2.2.0. Évalué à 3.
Je n'ai pas dit le contraire… Je n'ai jamais prétendu que Sailfish OS était parfait, notamment sur cette fonctionnalité.
[^] # Re: Retour d'expérience
Posté par Renault (site web personnel) . En réponse au journal Sortie de Sailfish OS 2.2.0. Évalué à 3.
Le Jolla C c'est 3.10. Apparemment c'est le même noyau pour les Xperia.
[^] # Re: Retour d'expérience
Posté par Renault (site web personnel) . En réponse au journal Sortie de Sailfish OS 2.2.0. Évalué à 3.
Je ne vois pas pourquoi ça irait mieux avec un Android où tu coupes l'autorisation à l'application seule dans ce cas.
Le problème est hélas le même partout. Le seul espoir est que le fondeur de la puce fasse la MaJ ou 'lait proposé au noyau officiel (avec toutes les fonctionnalités bien sûr) mais je n'ai jamais vu un tel cas.
[^] # Re: Retour d'expérience
Posté par Renault (site web personnel) . En réponse au journal Sortie de Sailfish OS 2.2.0. Évalué à 4.
Deux points que Jolla apporte tout de même :
J'en doute, la version du noyau est fortement couplée au choix du processeur sous-jacent comme pour Android. Peu probable d'avoir une mise à jour du noyau sans utiliser un nouveau matériel.
[^] # Re: .
Posté par Renault (site web personnel) . En réponse au journal Sortie de Sailfish OS 2.2.0. Évalué à 7.
Non non, c'est très clair, si on suit l'annonce de leur blog : https://blog.jolla.com/sailfish-x-whats-next/
Pas de doute, cela concerne effectivement le chiffrement du courriel, mais aussi de la carte mémoire et du système. C'est donc bien prévu.
# Retour d'expérience
Posté par Renault (site web personnel) . En réponse au journal Sortie de Sailfish OS 2.2.0. Évalué à 10.
J'utilise le système au quotidien depuis fin 2014, sur Jolla puis le Jolla C.
Comme toi, je n'en ai pas besoin d'un téléphone avec beaucoup trop de fonctions. Les usages de base me conviennent. Et globalement j'en suis très content.
Contrairement à la plupart de systèmes alternatifs, Sailfish OS propose l'émulation Android (du moins pour les systèmes officiels, pas les ports communautaires) ce qui permet de combler la logithèque si quelque chose manque. Cela fonctionne très bien, par exemple Firefox, F-Droid ou Google Maps tournent vraiment bien dessus. Mais comme ce n'est pas un Android officiel, certaines applications refuseront de tourner dessus comme celles des banques, Google Store, etc. Raison de sécurité.
Le partage de la connexion Internet fonctionne très bien. Le VPN natif aussi.
Globalement je résumerais ainsi.
Bien :
* Émulation Android si besoin ;
* Applications de base fonctionnelles, sans superflus ;
* Mises à jour tous les 2-3 mois, même pour le premier téléphone Jolla qui a pourtant 4-5 ans dans les pattes ;
* Interface agréable (sur base de gestes) et jolie ;
* Tout se code en Qt / C++ avec un SDK VirtualBox très fonctionnel (cela change du développement Android qui n'est pas très agréable selon moi).
Inconvénients :
* Pas d'application GPS native, tu dois chercher une application Android pour ça (mais ça fonctionne bien) ;
* Certaines applications Android ne fonctionnent pas comme celles des banques car ce n'est pas un Android certifié ;
* Certaines fonctionnalités essentielles arriveront plus tard, comme le chiffrement cette année ;
* Pas facile à se procurer un modèle supporté officiellement ;
* N'est pas libre, malgré des promesses répétées en ce sens beaucoup de code n'est pas encore libéré (globalement ce qui est haut niveau comme le moteur de rendu de l'interface utilisateur).
[^] # Re: .
Posté par Renault (site web personnel) . En réponse au journal Sortie de Sailfish OS 2.2.0. Évalué à 6.
C'est prévu pour la version 3 du système, en cours d'année.
[^] # Re: Désinformation
Posté par Renault (site web personnel) . En réponse au journal Et numworks tu connais ?. Évalué à 3.
Écoute, j'ai personnellement cherché et voici ce que j'ai trouvé :
Bref, pas mal de communiqués de presses qui usent du terme OpenSource qui je pense ne sort pas de nul part sinon ce serait étrange.
D'ailleurs NextInpact précise bien que ce n'est pas de l'OpenSource en réalité et un des employés le confirme. Il ne s'est pas retranché sur le fait que ce terme n'a jamais été employé de leur part. Et je doute que NextInpact aurait crée se débat si Numworks n'avait jamais abordé ce terme.
Bref, cela ne fait que de confirmer une tendance de fond de communication de leur part sur le sujet, du moins par le passé et cela continue aujourd'hui parce que pas tout le monde a eu le droit à cette rectification.
[^] # Re: Désinformation
Posté par Renault (site web personnel) . En réponse au journal Et numworks tu connais ?. Évalué à 6. Dernière modification le 05 juin 2018 à 13:11.
C'est une question de définition.
Un rectangle n'est pas un carré, même s'il est plus proche du carré que le trapèze cela ne le rend pas carré pour autant.
Numworks ne répondant pas à tout les critères, il n'est pas libre. Il offre des libertés qu'un logiciel proprio n'offre pas forcément, mais cela ne rend pas libre. C'est tout l'intérêt d'avoir des définitions précises pour permettre de discuter sans quiproquo.
C'est le gars qui a fait ce journal qui a qualifié cela d'OpenSource (et la discussion sur la notion de libre est la même que celle sur OpenSource). Donc soit Numworks a communiqué (dans le passé ou ailleurs) ainsi, ou le gars a inventé cela de lui même mais peut importe : il ne faut pas mal nommer les choses.
[^] # Re: Désinformation
Posté par Renault (site web personnel) . En réponse au journal Et numworks tu connais ?. Évalué à 3.
Disons que tu dis : c'est libre sauf pour si ou ça.
C'est libre ou cela ne l'est pas. C'est tout.
Tu peux dire que ces libertés sont mieux que rien mais dans un débat où l'étymologie a son importance ta formulation induit en erreur et fausse le débat. D'autant que Zenitram depuis le début ne dit pas que ces libertés ne servent à rien, mais que cela ne suffit pas pour dire que c'est libre ou OpenSource (car cela ne l'est pas évidemment).
Tu essayes de te rattraper peu à peu à coup de reformulation, mais le fond du débat ne change pas : ce n'est pas libre et communiquer sur le sujet pour Numwork est une erreur.
[^] # Re: Désinformation
Posté par Renault (site web personnel) . En réponse au journal Et numworks tu connais ?. Évalué à 5.
Sauf que les dispositions de la licence BSD que tu cites sont compatibles avec les 4 libertés de la FSF (et les 10 critères de l'OSI pour l'OpenSource).
Donc ils sont libres, alors que Numwork a des contradiction avec les éléments des définitions évoquées plus haut, d'où le non libre…
[^] # Re: Les fameux «ces gens de l'Europe»
Posté par Renault (site web personnel) . En réponse au journal La fin de l'internet est proche!. Évalué à 10.
Je rappel que les lobbys cela concerne aussi des associations. L'April ou Greenpeace sont aussi des lobbys.
Ouais enfin si payer un resto est le moyen le plus efficace de discuter et de convaincre un député, rassure toi, n'importe quelle association sérieuse (voire une poignée de citoyens) ont les moyens de le faire…
L'avantage d'avoir de l'argent n'est pas tellement là, c'est que tu as surtout des gens à plein temps pour contacter, discuter et produire du contenu (outil de promotion voire sujets de lois complets) avec des gens qualifiés en terme de négociations, en droit et communication.
[^] # Re: Je le savais
Posté par Renault (site web personnel) . En réponse au journal Microsoft rachète Github. Évalué à 10.
Rien à voir avec la choucroute, tu pouvais et tu peux encore auto héberger ton dépôt Git… La question de Github n'a aucun impact sur Git lui même.