La mite et le maître

Le chat passe toute la journée à se prélasser au soleil. Les yeux fermés, mais sans dormir. Plongé dans ses pensées. Il essaie, entre autres, d'imaginer ce que c'est qu'attendre un maître. Jouer au maître, ça, il sait ce que c'est. Être le maître de la situation aussi. La seconde précise où il attrape une souris, celle où il flanque d'un coup de patte une mouche à terre. Quand il est le maître, l'essentiel est bien d'attendre. D'attendre le bon moment.

À la tombée du jour, une mite se pointe dans les parages. Pas trop près de lui, mais le chat a vite fait de la remarquer.

La mite est grasse, elle ne sent pas bon et fait du bruit quand elle respire, si bien qu'on a l'impression que l'air n'est pas sain. Le chat secoue la tête, il s'efforce de penser au chien, à la corde, à ce que c'est qu'attendre un maître qui n'arrive pas. Il s'efforce de ne pas entendre le bruit que fait la mite.

La mite bourdonne un petit peu, à moins qu'on puisse appeler ça chanter. Comme elle fait vibrer ses ailes, sa voix tremble elle aussi. Elle dit qu'elle attend le maître, mais elle est tellement agitée que c'est à peine si elle arrive à prononcer les mots.

— Le maître ? demande le chat en ouvrant un œil.

— Le maître, dit la mite. Le maître de tout.

— Le maître du chien ? demande le chat.

— De tout, y compris du chien, dit la mite. Le maître de tout et de tous.

Le chat se lève et grossit sa queue. Il dit que la mite ne fait que débiter des âneries. Le maître de tout et de tous, ça n'existe pas, dit-il, car il connaît des animaux qui n'ont pas de maître. Il pense à lui-même, à la chouette et au renard, puis, durant une brève seconde, au chien. La mite ferait mieux de déguerpir si elle ne veut pas que le chat lui apprenne la différence entre la gauche et la droite, entre devant et derrière, et lui fasse comprendre sur-le-champ qui c'est, le maître de tout et de tous. Le chat montre ses griffes, à gauche et à droite, devant derrière. Alors qu'il s'apprête à lever la patte pour frapper, une lumière s'allume dans la maison juste à côté.

La mite s'envole en disant :

— Le voilà ! Le voilà !

— Où ça ? Où ça ? demande le chat.

Ébloui par la lumière, il essaie de voir ce qui se passe dans la maison, mais sans distinguer le maître de tout et de tous.

La documentation piégeuse sur archlinux.fr

Si je m'en tiens à certaines interventions d'archers sur mon article précédent, l'installation de mon Arch m'aurait transfiguré : Arch est sur ma machine et je suis maintenant le maître de tout.

Maître mais un maître qui peste.

Arch est là, sur mon poste de travail depuis quelques jours, et je n'ai de cesse à pester. Je peste. Je peste contre tout. Presque tout. Enfin, surtout contre la documentation sur le wiki d'Archlinux.fr. Certes, cette documentation a au moins le mérite d'exister et l'on peut en remercier, comme c'est l'usage, la communauté des archers francophones. Mais, cela fait, qu'a-t-on fait ? Sinon des salamalecs. Autant dire, pas grand chose et, peut-être même, que l'on aurait mieux fait de s'en abstenir. Alors, allons un peu au-delà.

J'ai donné, dans mon article précédent, un exemple des difficultés ou des pièges que j'ai rencontrés ces derniers jours. Au vrai, je pourrai sans mal multiplier les exemples tant ils sont nombreux. Je regrette seulement de ne les avoir pas tous notés un à un, méthodiquement, pour les catégoriser.

Défaut de référence

Le premier type de pièges peut être qualifié de "défaut de référence". L'utilisateur nouvellement débarqué ne peut que difficilement l'éviter. Il ne connaît pas la distribution, ses commandes, ses particularités. Les utilisateurs chevronnés que sont les archers, eux, connaissent, savent, et d'ailleurs s'en félicitent à l'envi, toutes les recettes, toutes les subtilités, les moindres recoins de leur distribution, et ne peuvent, si l'on se fie au niveau de compétences affiché ou affirmé, qu'ignorer ces références. Ils n'en ont pas besoin. Eux savent comment passer d'une installation tout en CLI au mode graphique. Trois commandes. Tout au plus. À quoi bon les donner dans le petit guide d'installation… n'est-ce pas ?

Pourtant, si l'on en croit ce que d'aucun affirme, çà et là, l'installation d'une Arch c'est fait pour durer : on ne réinstalle pas son Arch tous les quatre matins, comme c'est le cas pour les distributions en sucre, marron et vert. De fait, je suis quelque peu sceptique sur la nécessité voire même la maîtrise réelle de ces procédures d'installation, dans le détail, par ceux mêmes qui s'en piquent. — On peut s'étonner en effet que seul Fred Bezies esquisse une réponse à la question : Comment fait-on, dans le "chroot", pour installer un logiciel ? J'aurais préféré ne pas revenir à zéro quand je me suis trouvé bloqué à la configuration du chargeur de démarrage (bootloader) : FAILED to set attribute Legacy BIOS Bootable on /dev/sd…. Problème et solution connus. Mais bon, à quoi bon, en effet, si l'on réinstalle son Arch tous les trois ans, préciser toutes les subtilités de ces procédures. Se rafraîchir la mémoire sans doute. Un divertissement, tout au plus.

Dès lors, il semble accessoire ou secondaire, peut-être, de proposer un "guide d'installation de base" au terme duquel la distribution de base serait parfaitement utilisable autrement qu'en CLI : connexion internet, dépôts importants activés, distribution mise à jour, environnement graphique, logiciels pour usage courant à savoir bureautique, audio/vidéo, navigateur Internet… Pourtant, n'est-ce pas là ce qu'on peut appeler une installation minimale ou de base pour un poste de travail en version "Desktop". Mais peut-être que le guide d'installation proposé sur le wiki d'archlinux n'est pas destiné à pareille utilisation. Qu'il n'est pas dans l'ordre des préoccupations des archers de satisfaire pareil usage. Défaut de référence, donc.

N.B. : Je regrette de n'avoir pas eu connaissance plus tôt des guides de Julien et de Fred. Simples, efficaces. Je m'en suis servi, a posteriori, pour peaufiner mon installation. Pendant que j'y pense, petite précision Fred : pour renseigner l'identité complète de l'utilisateur (full name), la commande est chfn -f "Christophe Gallaire".

Je sais donc je suis

L'installation d'une Archlinux de base, telle qu'on l'entend dans le guide disponible sur archlinux.fr, n'est nullement suffisante pour satisfaire à mon utilisation quotidienne. Je me suis heurté un certain nombre de fois à une documentation étonnamment imprécise ou confuse, une documentation tellement spécialisée parfois que les usages les plus "simples" ou les plus "évidents" sont tout bonnement écartés ou ignorés. Enfin, quand je dis "simple" ou "évident", "confus" ou "imprécis", il va s'en dire que c'est pour moi que cela est… Ce tour rhétorique n'efface pas pour autant l'enjeu majeur, me semble-t-il, d'une telle documentation — à moins de ne lui reconnaître qu'une seule fonction décorative — où la question de sa lisibilité ou de son accessibilité doit ou devrait primer sur la démonstration : Qui écrit ? Pour qui ? Pourquoi ? Problématique récurrente sur "Cyrille Borne et associés" ces derniers temps.

Je pourrais multiplier les exemples de ce type mais je vais me limiter à un seul, celui du dépôt communautaire "AUR" parce qu'il est à lui seul, je crois, assez éloquent.

Dans le guide disponible sur archlinux.fr, lorsque l'on procède à l'installation de base, une note précise que l'on peut en profiter pour installer le groupe "base-devel", lequel serait « nécessaire à l'utilisation de AUR » ; un lien renvoie, en complément d'information, vers une page de la documentation dédiée audit dépôt. On apprend alors que le groupe "base-devel" est une « dépendance implicite pour la plupart des paquets » disponibles sur le dépôt AUR.

Fred Bezies, dans son guide, fait des groupes "base" et "base-devel" le minimum vital et propose, par ailleurs, d'installer en plus un certain nombre outils qu'il juge « pratique » d'avoir dès le départ (zip unzip p7zip vim mc alsa-utils syslog-ng). "Vim" pour "vi", plutôt deux fois qu'une. Pour ce qui est des utilitaires de dé/compression, je crois que ça peut attendre. M'enfin, chacun voit midi à sa porte. À moins que… quelque chose ne m'échappe.

Julien, quant à lui, dans son guide, voit dans l'installation des groupes "base" et "base-devel" le moyen d'avoir un « système ArchLinux à jour » avec les « dernières versions de paquets » ainsi que les « outils nécessaires à une utilisation bureautique quotidienne ». Il propose lui aussi d'installer dans la foulée quelques outils supplémentaires (sudo vim zip unzip p7zip bzip2 tar) pour « pour avoir un système utilisable rapidement après l’installation complète ». Il prévient par ailleurs qu'il ne donne cette liste de logiciels qu'à titre indicatif parce qu'ils seraient « utiles dans de nombreux cas ». Si pour "vim", encore une fois, je comprends ce choix, "sudo", en revanche, je ne saisis pas. Tant qu'un utilisateur n'existe pas et que rien n'est créé, installé ou modifié depuis l'espace personnel qui exige ce transfert de pouvoir de l'administrateur, je ne comprends pas. Par ailleurs, il me semble bien que "sudo" a été installé sans que j'en passe commande explicitement. En dépendance. De quoi ? Je n'ai pas vérifié.

"Base" ou "base base-devel" ? Mais pour quoi au juste ? Minimum vital, système à jour, bureautique, dépôt AUR ? Et quid des logiciels complémentaires ou optionnellement proposés ? Pratiques ou nécessaires pour une installation de "base" ? — J'en perds mon latin.

Pourtant, comme le dit Fred Bezies, en commentaire sur mon article précédent, il serait dommage de ne pas utiliser la richesse logicielle du dépôt communautaire AUR. Mais comment ? C'est là que les choses se corsent.

Dans son petit guide, Fred utilise les ressources du dépôt AUR et de manière transparente, si j'ose dire, avec l'utilitaire "yaourt", parce que m'a-t-il dit en commentaire pour m'aider à installer "AfterShotPro" dont j'ai besoin pour travailler quotidiennement, un logiciel comme "yaourt" est le moyen le plus rapide d'y accéder. Ainsi, lorsque Fred, dans son petit guide, propose de récupérer certaines polices de caractères disponibles dans le dépôt communautaire, il envoie la commande suivante :

yaourt -S ttf-bitstream-vera ttf-liberation ttf-freefont ttf-dejavu ttf-ms-fonts

Sur les conseils que Fred m'a prodigués en commentaire, j'ai installé "yaourt" puis procédé, comme il me l'a indiqué, pour installer "AfterShotPro" :

yaourt -G aftershotpro
cd aftershotpro
makepkg -s
yaourt -U nom-du-paquet

Julien, qui s'est inspiré du guide de Fred, ne doit, vraisemblablement, pas procéder autrement que Fred pour « accéder aux dépôts 'AUR' ».

Fred et Julien ne disent rien, dans leurs guides respectifs, du dépôt communautaire "AUR". Pourtant, ils l'utilisent tous les deux mais… configuré différemment. Julien ajoute, à la fin du fichier /etc/pacman.conf :

[archlinuxfr]
Server = http://repo.archlinux.fr/$arch

Quant à Fred, il donne la configuration suivante :

[archlinuxfr]
Siglevel = Optional TrustAll
Server = http://repo.archlinux.fr/$arch

Quelle différence entre les deux ? Le niveau de vérification des signatures. L'option, dans la configuration de Julien n'est pas renseignée pour le dépôt concerné. Cette directive, à ce que j'ai lu, peut se configurer soit globalement, dans la section [options], soit dépôt à dépôt, comme le propose Fred, en l'affectant directement au dépôt concerné.

Pour autant, la configuration de Fred me renvoie une erreur :

avertissement : fichier de configuration /etc/pacman.conf, ligne 102 : l’instruction « Siglevel » dans la section « archlinuxfr » n’est pas valide.

Une malheureuse erreur de syntaxe, de casse, "Siglevel" pour "SigLevel", qui m'aura égaré pendant quelques heures…

Mais pourquoi cette différence de configuration du "SigLevel" pour "AUR" entre les guides de Fred et de Julien ? — L'option de vérification retenue par Fred, "TrustAll" n'existe qu'à des fins de debug et donne pleine confiance à des clés non vérifiées. On peut comprendre aisément ce choix si l'on sait que le dépôt "AUR" n'est pas signé. L'option "SigLevel" qui convient, pour le dépôt communautaire "AUR" [archlinuxfr], est donc : "Never".

Dernière question à ce sujet : pourquoi la configuration de Julien ne propose-t-elle aucune directive de vérification de signatures pour le dépôt "AUR" ? L'absence de directive correspond-elle à la directive "Never" ?

Gagnant gagnant

Je crois que nous serons tous à peu près d’accord sur l'un des fondements du Libre : l'expérience "utilisateur", à savoir, explorer, expérimenter, sans blocage, sans consensus obligé, au risque de s’écarter les uns les autres, pour trouver ce qui fonctionne réellement, et, bien entendu, participer, partager, dire ce que l’on pense être le plus efficace, le meilleur… même si l'on prend toujours un risque à l'exprimer parce qu'il est difficile de ne pas exprimer d’opinions ou de visions particulières sans entrer en conflit avec d’autres.

J’ai bien conscience que la teneur d’un tel article peut aviver quelque querelle intestine ou division mais ce n’était nullement mon intention en l'écrivant. Non. Mon objectif est ailleurs : faire tourner Linux, Arch ou quelque autre distribution, correctement (i.e. au mieux) sur une machine en production.

Et je crois, pour conclure, que le partage de l’expérience "utilisateur" est un puissant vecteur d’évolution.

N.B. : Au moment de la rédaction de cet article, il n'y avait pas 48 heures que j'avais installé Arch. Je confonds allègrement le dépôt communautaire "AUR" et le dépôt communautaire [archnilixfr]. Ce que Fred Bezies me précise dans le commentaire #9. Vous excuserez, certainement cette confusion mais… j'ai un peu de mal à en porter la responsabilité. À aucun endroit, ni dans le guide de Fred, ni dans celui de Julien, cette distinction n'est faite clairement. Voyez par exemple ce que dit Julien :

Toutefois, il existe aussi « Yaourt« , une sorte de Pacman avancé. Cet utilitaire (Yaourt), est plus puissant puisqu’il sait accéder aux dépôts « AUR », les dépôts des utilisateurs ArchLinux.

Il faut donc ajouter, à la fin du fichier « /etc/pacman.conf » :

Ajout dépôt téléchargement Yaourt

[archlinuxfr]
Server = http://repo.archlinux.fr/$arch

Original post of Cyrille BORNE.Votez pour ce billet sur Planet Libre.

Wasn’t it Shakespeare who once said, “A blog by any other domain would read just as sweetly”?  While it’s true that, as long as you are writing good content consistently, you will find your niche and audience, your site address is an important part of your online presence. A memorable site address is a direct link to your and your readers. Without it, they can’t find you.

When you sign up for a site on WordPress.com, you automatically receive a free WordPress.com subdomain, like dailypost.wordpress.com. Your site is always available through your WordPress.com address and you can use it for free for as long as you’d like. As your blog grows, you may find that you’d like to further customize your site address and replace your *.wordpress.com subdomain with your own .com.

To help familiarize you with the world of domains, we’ve crafted up a series of posts for you on domain basics, domain ownership, and the nitty gritty of how domains work.

The basics

It’s a habitual act for many of us: you sit down at your desk or pull your laptop onto your lap while lounging on the couch. You press the power button, the screen glows, and your cursor moves, almost automatically, to your browser of choice. In the address bar, you begin to type a web address, press enter, and voilà!

When you type a URL into your address bar, you send a signal through your computer to request the files that make up that website and display them in a neat little package on your browser. But guess what? Anyone can register their own, unique domain, including you.

To use your own custom domain, you first need to register it. Registering a domain means that you own this particular web address, just like we own the domain WordPress.com. No one else can use your domain while it’s registered to you, since the same URL can’t bring you to more than one site.

Before registering your domain, there are a few options you’ll want to note. The ending of a domain, such as .com or .net, is known as a TLD, or top-level domain. The TLD you choose doesn’t affect how visitors access your site or how your site is presented to the web. Instead, TLDs are primarily a style preference. A domain’s TLD can act as a regional marker, such as domains ending in .ca, which is the country code for Canada, or an opportunity for a clever play on words, such as allabout.me. Through WordPress.com, you can register .com, .net, .org, or .me TLDs.

During the registration process, you’ll also run into the option to register privately. By default, the contact information for the registrant, or owner, of a domain is publicly available through Whois (pronounced “Who is?”) which is a tool that allows you to see who owns a domain name. If you’d like to keep your information private, a domain registrar will offer a private registration. For private domain registrations, it is still important to keep your contact information accurate, but your information will be protected from Whois searches.

A few common questions

Q: Once I buy a domain, is it mine forever?

A: Domains need to be renewed yearly to maintain your ownership, and it is very important to make sure your domain never expires as long as you’d like to keep using that address.

If you register your domain through WordPress.com, it’s possible to set up an automatic renewal so that it’s renewed automatically each year. Automatic renewal for domains goes through 30 days before the domain expires. This way, if there’s a problem with your payment, we can alert you before the domain expires.

Q: No one can buy a domain with my name in it.

A: It’s a great idea to buy the domain that matches your name, but it’s not guaranteed to be yours. If there’s more than one person with the same name as you, it’s quite possible that one of your namesakes may have already bought the domain. With domains, it’s first-come, first-served.

Once a domain is registered, it’s not available for anyone else to buy. Some registrants will offer to sell a domain they own, but the price can vary considerably.

If the domain you want is already taken, consider a different TLD. For example, janedoe.com may be taken, but janedoe.me may be available instead.

Still have more questions? Don’t worry, we’ve got your covered. Stay tuned for the next part of our series on domains when we cover hosting, name servers, and DNS, oh my!

Original post of dahu_fou.Votez pour ce billet sur Planet Libre.

Le titre se suffit à lui-même ici. On pourrait ajouter aux entreprises, les institutions et les particuliers, bref tout le monde.

Non content d’avoir été accusé par le passé de réserver dans Windows des portes dérobées à la NSA, non content d’être fortement suspecté de laisser les autorités américaines collecter nos données dans Skype, Microsft est maintenant soupçonné de différer la publication de ses patchs de sécurité pour en informer d’abord les mêmes autorités américaines !

Tout DSI normalement constiué(e) devrait lire cet article et en tirer avec sa direction ses propres conclusions.

Quelle entreprise peut encore faire confiance à Microsoft ?

How Can Any Company Ever Trust Microsoft Again?

Glyn Moddy - juin 2013 - Open Enterprise (Computer World)
(Traduction : Slystone, Luo, lamessen, Antoine, sinma, Pouhiou, Sky, Fe-lor, aKa, Asta, audionuma + anonymes)

Quels que soient les détails des récentes révélations sur l’espionnage de masse de la part des États-Unis fournis par Edward Snowden dans le Guardian, il y a déjà un énorme bénéfice collatéral. D’un côté, le gouvernement des États-Unis se replie sur lui-même, niant certaines allégations en offrant sa propre version de l’histoire. Cela, et pour la première fois, nous donne des détails officiels sur des programmes dont nous n’étions (au mieux) informés que par fuites et rumeurs, voire pas du tout. De plus, la précipitation indécente et l’histoire sans cesse changeante des autorités américaines est une confirmation, si elle était encore nécessaire, que ce que Snowden a révélé est important — vous ne provoquez pas un tel tapage pour rien.

Mais peut-être encore plus crucial, d’autres journalistes, poussés par la honte et leur culpabilisation, ont finalement posé des questions qu’ils auraient dû poser des années voire des décennies plus tôt. Cela a abouti à une série d’articles extrêmement intéressants à propos de l’espionnage de la NSA, dont beaucoup contiennent des informations auxiliaires qui sont aussi intéressantes que l’histoire principale. Voici un bel exemple de ce qui est apparu durant le week-end sur le site de Bloomberg.

Entre autres choses, il s’agit de Microsoft, et d’évaluer dans quelle mesure ils ont aidé la NSA à espionner le monde. Bien sûr, cette crainte n’est pas nouvelle. Dès 1999, il était déjà dit que des portes dérobées avaient été codées dans Windows :

Une erreur d’inattention de programmeurs Microsoft a révélé qu’un code d’accès spécial préparé par l’agence nationale de sécurité étasunienne (NSA) avait été secrètement implémenté dans Windows. Le système d’accès de la NSA est implémenté sous toutes les versions de Windows actuellement utilisées, à l’exception des premières versions de Windows 95 (et ses prédécesseurs). La découverte suivait de près les révélations survenues un peu plus tôt cette année concernant un autre géant du logiciel étasunien, Lotus, qui avait implémenté une trappe « d’aide à l’information » pour la NSA dans son système Notes. Des fonctions de sécurité dans d’autres logiciels systèmes avaient été délibérément paralysées.

Plus récemment, il y eut des craintes au sujet de Skype, racheté par Microsoft en mai 2011. En 2012, il y a eu des discussions pendant lesquelles on s’est demandé si Microsoft avait changé l’architecture de Skype pour rendre l’espionnage plus facile (l’entreprise a même un brevet sur l’idée). Les récentes fuites semblent confirmer que ces craintes étaient bien fondées, comme le signale Slate :

Le scoop du Washington Post sur PRISM et ses possibilités présente plusieurs points frappants, mais pour moi un en particulier s’est démarqué du reste. The Post, citant une diapositive Powerpoint confidentielle de la NSA, a écrit que l’agence avait un guide d’utilisation spécifique « pour la collecte de données Skype dans le cadre du programme PRISM » qui met en évidence les possibilités d’écoutes sur Skype « lorsque l’un des correspondants utilise un banal téléphone et lorsque deux utilisateurs du service réalisent un appel audio, vidéo, font du chat ou échangent des fichiers. »

Mais même cela devient dérisoire comparé aux dernières informations obtenues par Bloomberg :

D’après deux personnes qui connaissent bien le processus, Microsoft, la plus grande compagnie de logiciels au monde, fournit aux services de renseignement des informations sur les bogues dans ses logiciels populaires avant la publication d’un correctif. Ces informations peuvent servir à protéger les ordinateurs du gouvernement ainsi qu’à accéder à ceux de terroristes ou d’armées ennemies.

La firme de Redmond basée à Washington, Microsoft, ainsi que d’autres firmes œuvrant dans le logiciel ou la sécurité, était au courant que ce genre d’alertes précoces permettaient aux États-Unis d’exploiter des failles dans les logiciels vendus aux gouvernements étrangers, selon deux fonctionnaires d’État. Microsoft ne demande pas et ne peut pas savoir comment le gouvernement utilise de tels tuyaux, ont dit les fonctionnaires, qui ne souhaitent pas que leur identité soit révélée au vu de la confidentialité du sujet.

Frank Shaw, un porte-parole de Microsoft, a fait savoir que ces divulgations se font en coopération avec d’autres agences, et sont conçues pour donner aux gouvernements « une longueur d’avance » sur l’évaluation des risques et des mitigations.

Réfléchissons-y donc un moment.

Des entreprises et des gouvernements achètent des logiciels à Microsoft, se reposant sur la compagnie pour créer des programmes qui sont sûrs et sans risque. Aucun logiciel n’est complètement exempt de bogues, et des failles sérieuses sont trouvées régulièrement dans le code de Microsoft (et dans l’open source, aussi, bien sûr). Donc le problème n’est pas de savoir si les logiciels ont des failles, tout bout de code non-trivial en a, mais de savoir comment les auteurs du code réagissent.

Ce que veulent les gouvernements et les compagnies, c’est que ces failles soient corrigées le plus vite possible, de manière à ce qu’elles ne puissent pas être exploitées par des criminels pour causer des dégâts sur leurs systèmes. Et pourtant, nous apprenons maintenant que l’une des premières choses que fait Microsoft, c’est d’envoyer des informations au sujet de ces failles à de multiples agences, en incluant sans doute la NSA et la CIA. En outre, nous savons aussi que « ce type d’alerte précoce a permis aux U.S.A. d’exploiter des failles dans les logiciels vendus aux gouvernements étrangers »

Et rappelez-vous que « gouvernements étrangers » signifie ceux des pays européens aussi bien que les autres (le fait que le gouvernement du Royaume-Uni ait espionné des pays « alliés » souligne que tout le monde le fait). Il serait également naïf de penser que les agences de renseignement américaines exploitent ces failles « jour 0 » seulement pour pénétrer dans les systèmes des gouvernements ; l’espionnage industriel représentait une partie de l’ancien programme de surveillance Echelon, et il n’y a aucune raison de penser que les U.S.A. vont se limiter aujourd’hui (s’il y a eu un changement, les choses ont empiré).

Il est donc fortement probable que les faiblesses des produits Microsoft soient régulièrement utilisées pour s’infiltrer et pratiquer toutes sortes d’espionnage dans les gouvernements et sociétés étrangères. Ainsi, chaque fois qu’une entreprise installe un nouveau correctif d’une faille majeure provenant de Microsoft, il faut garder à l’esprit que quelqu’un a pu avoir utilisé cette faiblesse à des fins malveillantes.

Les conséquences de cette situation sont très profondes. Les entreprises achètent des produits Microsoft pour plusieurs raisons, mais toutes supposent que la compagnie fait de son mieux pour les protéger. Les dernières révélations montrent que c’est une hypothèse fausse : Microsoft transmet consciencieusement et régulièrement des informations sur la manière de percer les sécurités de ses produits aux agences américaines. Ce qui arrive à ces informations plus tard est, évidemment, un secret. Pas à cause du « terrorisme », mais parce qu’il est presque certain que des attaques illégales sont menées contre d’autres pays (et leurs entreprises) en dehors des États-Unis.

Ce n’est rien d’autre qu’une trahison de la confiance que les utilisateurs placent en Microsoft, et je me demande comment un responsable informatique peut encore sérieusement recommander l’utilisation de produits Microsoft maintenant que nous sommes presque sûrs qu’ils sont un vecteur d’attaques par les agences d’espionnage américaines qui peuvent potentiellement causer d’énormes pertes aux entreprises concernées (comme ce qui est arrivé avec Echelon).

Mais il y a un autre angle intéressant. Même si peu de choses ont été écrites à ce sujet — même par moi, à ma grande honte — un nouvel accord législatif portant sur les attaques en ligne est en cours d’élaboration par l’Union Européenne. Voici un aspect de cet accord :

Ce texte demandera aux États membres de fixer leur peine maximale d’emprisonnement à au moins deux ans pour les crimes suivants : accéder à ou interférer illégalement avec des systèmes d’informations, interférer illégalement avec les données, intercepter illégalement des communications ou produire et vendre intentionnellement des outils utilisés pour commettre ces infractions.

« Accéder ou interférer illégalement avec des systèmes d’informations » semble être précisément ce que le gouvernement des États-Unis fait aux systèmes étrangers, dont probablement ceux de l’Union Européenne. Donc, cela indiquerait que le gouvernement américain va tomber sous le coup de ces nouvelles réglementations. Mais peut-être que Microsoft aussi, car c’est lui qui en premier lieu a rendu possible l’« accès illégal ».

Et il y a un autre aspect. Supposons que les espions américains utilisent des failles dans les logiciels de Microsoft pour entrer dans un réseau d’entreprise et y espionner des tiers. Je me demande si ces entreprises peuvent elles-mêmes se trouver accusées de toute sorte d’infractions dont elles ne savaient rien ; et finir au tribunal. Prouver son innocence ici risque d’être difficile, car en ce cas les réseaux d’entreprise seraient effectivement utilisés pour espionner.

Au final, ce risque est encore une autre bonne raison de ne jamais utiliser des logiciels de Microsoft, avec toutes les autres qui ont été écrites ici ces dernières années. Ce n’est pas uniquement que l’open source est généralement moins cher (particulièrement si vous prenez en considération le prix de l’enfermement livré avec les logiciels Microsoft), mieux écrit, plus rapide, plus sûr et plus sécurisé. Mais par-dessus tout, le logiciel libre respecte ses utilisateurs, les plaçant solidement aux commandes.

Cela vous ôte toute crainte que l’entreprise vous ayant fourni un programme donne en secret à des tiers la possibilité de retourner contre vous ce logiciel que vous avez payé assez cher. Après tout, la plupart des résolutions des bogues dans l’open source est effectuée par des codeurs qui ont un peu d’amour pour l’autorité verticale, de sorte que la probabilité qu’ils donnent régulièrement les failles à la NSA, comme le fait Microsoft, doit être extrêmement faible.

Crédit photo : Cambodia4kidsorg (Creative Commons By)

Original post of Framablog.Votez pour ce billet sur Planet Libre.

Je souhaitais ajouter dans Glances un plugin permettant de superviser l'état des batteries. J'ai donc commencé à chercher une librairie Python permettant de s'acquiter le plus simplement possible de cette tache qui sous un système GNU/Linux consiste à analyser le répertoire /sys/class/power_supply maintenu à jour par le noyau Linux.

Comme je n'ai pas trouvé mon bonheur, j'ai donc décidé de développer un librairie Python: BatInfo.

Les sources de cette librairie sont disponibles sur Github en licence LGPL.

Installation

L'installation sur votre système peut se faire simplement via la librairie Pypi:

sudo pip install batinfo

L'utilisation de la librairie dans vos développement Python est la suivante, on commence par inclure la librairie:

import batinfo

Puis on créé une instance (bat) de la classe principale (batteries):

bat = batinfo.batteries()

On peut récupérer les données brutes (format JSON) en utilisant:

bat.stat
[{"status": "Full", "capacity": 50, "name": "CMB1", "uevent": "POWER_SUPPLY_NAME=CMB1\\nPOWER_SUPPLY_STATUS=Full\\nPOWER_SUPPLY_PRESENT=1\\nPOWER_SUPPLY_TECHNOLOGY=Li-ion\\nPOWER_SUPPLY_CYCLE_COUNT=0\\nPOWER_SUPPLY_VOLTAGE_MIN_DESIGN=10800000\\nPOWER_SUPPLY_VOLTAGE_NOW=12496000\\nPOWER_SUPPLY_CURRENT_NOW=0\\nPOWER_SUPPLY_CHARGE_FULL_DESIGN=5800000\\nPOWER_SUPPLY_CHARGE_FULL=5800000\\nPOWER_SUPPLY_CHARGE_NOW=3900000\\nPOWER_SUPPLY_CAPACITY=100\\nPOWER_SUPPLY_MODEL_NAME=CP293550-01\\nPOWER_SUPPLY_MANUFACTURER=Fujitsu\\nPOWER_SUPPLY_SERIAL_NUMBER=01A-Z100320001158Z", "alarm": 0, "charge_full": 5800000, "voltage_now": 12496000, "serial_number": "01A-Z100320001158Z", "cycle_count": 0, "current_now": 0, "charge_now": 3900000, "voltage_min_design": 10800000, "path": "/sys/class/power_supply/CMB1", "technology": "Li-ion", "manufacturer": "Fujitsu", "type": "Battery", "model_name": "CP293550-01", "present": 1, "charge_full_design":5800000}]

Les données brutes se présentent sous la forme d'une liste de dictionnaire (un dictionnaire par batterie présente sur votre système). Comme la plupart du temps les machines (portable) ont une seule batterie, on peut avoir le dictionnaire associé à cette première batterie avec:

bat.stat[0]
{"status": "Full", "capacity": 100, "name": "CMB1", "uevent": "POWER_SUPPLY_NAME=CMB1\\nPOWER_SUPPLY_STATUS=Full\\nPOWER_SUPPLY_PRESENT=1\\nPOWER_SUPPLY_TECHNOLOGY=Li-ion\\nPOWER_SUPPLY_CYCLE_COUNT=0\\nPOWER_SUPPLY_VOLTAGE_MIN_DESIGN=10800000\\nPOWER_SUPPLY_VOLTAGE_NOW=12496000\\nPOWER_SUPPLY_CURRENT_NOW=0\\nPOWER_SUPPLY_CHARGE_FULL_DESIGN=5800000\\nPOWER_SUPPLY_CHARGE_FULL=5800000\\nPOWER_SUPPLY_CHARGE_NOW=3900000\\nPOWER_SUPPLY_CAPACITY=100\\nPOWER_SUPPLY_MODEL_NAME=CP293550-01\\nPOWER_SUPPLY_MANUFACTURER=Fujitsu\\nPOWER_SUPPLY_SERIAL_NUMBER=01A-Z100320001158Z", "alarm": 0, "charge_full": 5800000, "voltage_now": 12496000, "serial_number": "01A-Z100320001158Z", "cycle_count": 0, "current_now": 0, "charge_now": 3900000, "voltage_min_design": 10800000, "path": "/sys/class/power_supply/CMB1", "technology": "Li-ion", "manufacturer": "Fujitsu", "type": "Battery", "model_name": "CP293550-01", "present": 1, "charge_full_design":5800000}

Les statistiques présentes dans le dictionnaire dépende de votre batterie. Mais on retrouve un certain nombre d'informations génériques comme par exemple la capacité restante (en %):

bat.stat[0].capacity
50

la capacité maximale:

bat.stat[0].charge_full
5800000

ou encore la capacité courante:

bat.stat[0].charge_now
3900000

On peut aussi avoir des informations constructeurs:

bat.stat[0].manufacturer
'Fujitsu'
bat.stat[0].technology
'Li-ion'

En espérant que cette librairie soit utile à certains. Si vous avez des remarques/rapports de bug à faire, merci d'utiliser le Github: https://github.com/nicolargo/batinfo/issues

Il ne me reste plus, pour ma part, qu'à intégrer cela dans Glances.

Cet article BatInfo, une lib Python pour vos batteries est apparu en premier sur Le blog de NicoLargo.

Original post of Nicolargo.Votez pour ce billet sur Planet Libre.

Avec WordPress, la personnalisation d’un site peut aller très loin. Dans cet article, nous allons parler images, articles et catégories.
Voici l’état des lieux :

• Actuellement, ni les articles ni les images n’ont d’images liés.
• Dans le futur, un article pourra avoir une image liée (image à la une) ;
• Si ce n’est pas le cas, on utilisera l’image liée à la catégorie de l’article.

Comment allons nous faire ?

Toutes les modifications se font dans le fichier functions.php de votre thème WordPress.

Activer le support des images à la une dans le thème WordPress

On active les miniatures pour les articles.

add_theme_support('post-thumbnails', array('post'));

On définit les tailles des miniatures

set_post_thumbnail_size(100, 100);

Désormais, nous avons, pour les articles, la possibilité d’avoir une image à la une.

Lier une image à une catégorie

On crée un hook pour s’intégrer au formulaire d’édition de la catégorie dans le BO WordPress :

function fnAction_edit_category_form_fields($poTag){
  $arrCategoryImages = get_option('category_url_images');
  if(is_array($arrCategoryImages) && array_key_exists($poTag->term_id, $arrCategoryImages)){
    $psURL = $arrCategoryImages[$poTag->term_id] ;
  } else {
    $psURL = '';
  }
  ?>
    
  
 
On crée un hook qui s’activera lors de la sauvegarde d’une catégorie :
function fnAction_edited_category($piIDTerm){
  if(isset($_POST['category_url_image'])){
    $arrCategoryImages = get_option('category_url_images');
    $arrCategoryImages[$piIDTerm] = $_POST['category_url_image'];
    update_option('category_url_images', $arrCategoryImages);
  }
}
add_action('edited_category', 'fnAction_edited_category');
 
Récupérer l’image à la une ou l’image de la catégorie
Pour cela, j’ai crée une fonction qui retourne d’abord si elle est présente l’image à la une sinon l’image liée à la catégorie.

function fnWP_getOGImage(){
  if((function_exists('has_post_thumbnail')) && (has_post_thumbnail())) { 
    $imageData = wp_get_attachment_image_src(get_post_thumbnail_id (get_the_ID()), 'thumbnail');
    return $imageData[0];
  } else {
    $oCategory = get_the_category(get_the_ID());
    if($oCategory){
      $arrCategoryImages = get_option('category_url_images');
      if(is_array($arrCategoryImages) && array_key_exists($oCategory[0]->term_id, $arrCategoryImages)){
        return $arrCategoryImages[$oCategory[0]->term_id] ;
      } else {
        return '';
      }
    }
  }
  return '';
}
 
Désormais, à vous de jouer ! Dans mon cas, j’ai intégré cela dans mon header pour gérer les og:image de Facebook.
Cet article WordPress : Ajouter une image aux catégories est apparu en premier sur RootsLabs.


Original post of Progi1984.Votez pour ce billet sur Planet Libre.