#opensource

Publications relatives à cette étiquette

Porte

For me, the two big lessons from #XZ were first, the lack of resources supporting crucial Open-Source infrastructure, but then and especially, the demonstration that the attackers are numerous, skilled and patient. We already knew about numerous and skilled but this episode, where the attacker was already well-embedded in the project by May 2022, opened a few eyes, including mine.

The advantage, to various flavors of malefactor, of subverting core pieces of Open-Source infrastructure, is incalculable. #XZ was the one we caught; how many have we missed?

ongoing by Tim Bray · OSQI [archive]

J’ai laissé le web 2 jours et hop, une porte dérobée a été fermée à temps. C’est la chronologie [archive] qui est surprenante dans sa durée et pose immédiatement la question de savoir s’il s’agit d’une exception ou s’il y a déjà des portes un peu partout, exploitées par plus ou moins de monde.

Lorsqu’on voit ce que sont prêts à faire les GAFAM+, je n’ai aucun doute sur le fait qu’ils se rueraient sur de telles « opportunités ». On parle souvent de malveillance dans ces cas là, je pense que l’on peut facilement mettre tout ce qui est growth hacking et marketing dans ce périmètre.

Pour en revenir à des OSQI (Open Source Quality Institutes) nationaux, cela me rappelle des initiatives comme copie publique ou cette idée de MécénatDeCompétencesPublic .

Transformer l’Open-Source en bien commun est peut-être le chantier de la décennie à venir. J’espère en faire partie à mon échelle.

Tuesday, Hans-Christoph Steiner, a longtime developer of F-Droid, explained that a very similar situation nearly led F-Droid to push an update that would have introduced a security vulnerability into the product three years ago: “Three years ago, F-Droid had a similar kind of attempt as the Xz backdoor,” he posted on Mastodon. “A new contributor submitted a merge request to improve the search, which was oft requested but the maintainers hadn’t found time to work on. There was also pressure from other random accounts to merge it. In the end, it became clear that it added a SQL injection vulnerability. In this case, we managed to catch it before it was merged. Since similar tactics were used, I think it’s relevant now.”

Other open source developers and security experts have pointed to the dynamic of bullying and the general reliance on a small number of volunteer developers. They explained that it’s a problem across much of the open source software ecosystem, and is definitely a problem for the large tech companies and infrastructure who rely on these often volunteer-led projects to build their for-profit software on top of.

Bullying in Open Source Software Is a Massive Security Vulnerability [archive]

Fourchette

Suite des aventures.

Un peu plus de documentation (la démo servant aussi d’introduction). Une licence AGPLv3 qui soit compatible avec l’implémentation principale dont je m’inspire. Je ne sais pas trop si c’est un fork au final, c’est assez hybride comme nouvelle branche, j’ai plus l’impression d’une convergence.

J’ai surtout travaillé sur l’intégration du formulaire de saisie du mot de passe qui se situe maintenant dans le Web Component. Je voulais privilégier la simplicité d’usage, ce qui implique de prendre quelques raccourcis. J’ai beaucoup hésité à utiliser un élément <dialog> pour le formulaire mais j’ai préféré rester basique.

Il y a encore du travail mais la base me semble utilisable. C’est en essayant de l’intégrer par ailleurs que je vais me rendre compte de tous les défauts actuels.


Redis a maintenant un fork : redict suite à un changement de licence qui n’est plus tout à fait open-source, du moins tel que défini par l’OSI.


En ayant repris un entraînement physique assez intensif pour récupérer une forme acceptable (car j’ai quand même été immobilisé un moment), je me rends compte que ça prend un temps non négligeable.

Un peu par hasard, je commence un traitement AKiLEiNE TANO(+NOK). On va voir si ça permet de gagner du temps dans la préparation des pieds, retours dans un mois.

J’ai aussi réduit mon coup de fourchette car le printemps s’en vient et je vais moins avoir besoin de me protéger du froid. Même si cette sortie course du jour par -15°C en ressenti était piquante !

PageCrypt

J’y ai passé ma soirée mais j’ai un truc qui fonctionne pour une démo. Ça ressemble beaucoup à un patchwork de bouts de code récupérés ici et puis aussi là pour la partie Python.

Il y a encore pas mal de travail — notamment pour rendre la page suffisamment accessible — mais au moins la partie crypto / boîte noire semble fonctionner à la fois du côté génération en Python et consommation en JS. C’est la partie qui me faisait un peu peur et sur laquelle j’ai un peu patiné car c’est bien au-delà de mes compétences et que je ne veux pas prendre l’initiative de trop adapter sans comprendre les enjeux niveau sécurité.

Le dépôt est par ici. Il faut encore que je décide si le formulaire pour le mot de passe devient un web component dédié et/ou un sous-composant, je ne suis pas satisfait du couplage implicite actuel. Itération, itération.

En bonus, il est possible d’accéder directement au contenu de la page en mettant le mot de passe en ancre de l’URL. J’ai appris au passage que ce fragment d’URL n’était pas transmis dans la requête et ne restait que dans l’historique du navigateur.

Si tu n’as pas honte de ton premier commit, tout ça… la suite demain.


Les mots ont un impact et, inconsciemment, quand vous ne les utilisez pas dans la bonne manière, vous minimisez mon handicap et donc vous faites moins d'effort que nécessaire.

Autre point, dit-on « personne en situation en handicap » ou « personne handicapée ? »

Là, encore, il y a une subtilité.

Je vais à un événement tech où les conférences ne sont pas sous-titrées. Je suis en situation de handicap puisque les conférences ne me sont pas du tout accessibles.

Je vais à un événement tech où les conférences sont toutes sous-titrées. Je ne suis pas en situation de handicap puisque les conférences me sont totalement accessibles.

Voici la différence. Être en situation de handicap, c’est subir la situation faute d’accessibilité.

N’ayez pas peur des mots [archive]

Cette page ne contient pas le contenu du HTML qui s’affiche et ça me rend triste car j’en apprécie le contenu qui m’apprend des choses / me fait réfléchir.

Un autre angle de l’accessibilité ?


So don’t publish for the world.

When I write something here on my website, I’m not thinking about the world reading it. That would be paralyzing. I do sometimes imagine that one person is reading it; someone just like me who hasn’t yet had this particular thought, or come up with that particular idea.

I’m writing for myself. I write to figure out what I think. I also publish mostly for myself—a public archive for future me. But if what I publish just happens to connect with one other person, I’m glad.

What the world needs [archive]


My goal, for this digital place I’m creating, is to make you go away. And that’s not because I want to be left alone but because I hope to help you discover new digital places to explore. If I see you again, it’s because you decided to come back, and not because you got lost and trapped inside the digital walls I erected.

Digital walled gardens [archive]

🌱

Permanence

Eventually, I started asking myself: why am I promising permanence? The answer crept up on me: because permanence is better than nothing. Without the momentum of obligation, I didn’t trust myself to begin anything in earnest.

The thing is, it never worked. The half-life of obligation is short; the half-life of guilt is long. Promises never saved one of my side projects, but they clogged many nights and weekends with the gunk of regret. Something had to change.

No more forever projects [archive]

Je vais aller m’enforester avec cette question. Le refuge ne va pas être accessible via la piste de ski (de fond), plus assez de neige.

Un 3 mars, au nord de Montréal.


Ces chaleurs extrêmes de 2023 ont moins à voir avec le développement d’El Niño qu’avec les conditions anticycloniques de la zone. « On a observé une baisse des vents assez forte sur l’Atlantique Nord, explique Christophe Cassou. Or quand il y a moins de vent, il y a moins d’évaporation, ce qui conduit à un réchauffement des eaux de surface. Ces eaux chauffent aussi car elles se mélangent moins avec les eaux plus profondes et plus froides. »

Aujourd’hui, cette configuration météorologique a disparu mais les eaux de surface de l’Atlantique Nord continuent de battre des records de chaleur à cause du phénomène El Niño, qui a fini par réchauffer progressivement les eaux de l’océan pendant l’hiver.

Climat : pourquoi les températures battent tous les records depuis la mi-2023 [archive]

Les Décodeurs m’offrent une grille de lecture des phénomènes en cours intéressante.


From pragma directives, to async scripts, to stylesheets, to open graph tags, it’s easy to mess up and can have consequences. Capo.js will show you the specific order of elements to make your <head> and your page a little (or a lotta) bit faster.

Capo.js: A five minute web performance boost [archive]

Il est aussi possible d’utiliser la démo sans installer aucun JS en copiant du HTML ou en pointant vers une page. J’ai du mal à évaluer à quel point c’est pertinent pour cet espace, peut-être davantage dans des contextes sans prise de soin [archive] qui semblent être la norme aujourd’hui.


Rêve de la nuit dernière

rêve - Carnets Web de La Grange [archive]

💚

uMap 2

But it’s deeper that that. Open source is good for humanity. It’s only slightly hyperbolic to say that open source is one of the most notable collective successes of humankind as a species! It’s one of the few places where essentially all of humanity works together on something that benefits everyone. A world without open source would be substantially worse than the world we live in.

Paying people to work on open source is good actually [archive]

J’ai déjà parlé d’open-source, de mécénat, de versions, de licences, mais comment se passe une release de produit open-source ?

On commence à avoir affiné et documenté le processus, on a des scripts dédiés pour arriver à cela lorsque le moment est venu et nous sommes pour l’instant 2 à pouvoir faire cela de bout en bout avec Yohan. C’est peu mais c’est aussi +100% par rapport à l’année dernière…

Nous n’étions pas très loin de repousser encore une fois la version 2 car il y avait un dernier changement majeur à faire passer. Tiraillés, nous avons repoussé cela à une version 3 quitte à ce qu’elle arrive prochainement. Franchir cette barrière psychologique était important pour la suite. Le faire en visio de bout en bout (comme une bonne partie de nos interactions sur le produit) était enthousiasmant. En bonus, c’était un vendredi après-midi.

Voilà donc un changelog déjà bien chargé. Nous nous sommes rendu compte au cours du processus que le versionnement était davantage pertinent pour les mainteneur·euses que pour les utilisateur·ices. Les fonctionnalités sont ajoutées au compte-goutte mais il faut prévenir les personnes qui vont mettre à jour l’outil de ce qui pourrait coincer lors du déploiement. Certains changements ont été volontaires (modules ESM => support navigateurs), d’autres contraints (fin du support de l’authification OpenStreetMap OAuth1), d’autres subis (Django 5 => Python 3.10). Un beau mélange.

Je ne vais rien annoncer pour une version 3 car ce serait ajouter une pression inutile et même si on a des intuitions tout est loin d’être priorisé. Dans mes motivations personnelles :

We have to accept the world as it is – even if it’s not the world we want. This means we have to be okay with the idea that maintainers need to be paid. Far too often I see arguments like: “maintainers shouldn’t be paid by private companies because the government should be supporting them.” Sure, this sounds great – but governments aren’t doing this! So this argument reduces to “open source maintainers shouldn’t be paid”. I can’t get on board with that.

Ibid.

Étant actuellement payé par l’Agence nationale de la cohésion des territoires pour participer à de l’open-source, je ne peux qu’approuver cette partie de la citation et être heureux de me trouver là où je suis. Les exceptions existent grâce à une conjonction de volontés, de privilèges et de coups de bol.


uv represents a milestone in our pursuit of a “Cargo for Python”: a comprehensive Python project and package manager that’s fast, reliable, and easy to use.

uv: Python packaging in Rust [archive]

Un futur de Python se dessine et j’en apprécie les esquisses.

Licence

Title: WTFPL Submission: http://crynwr.com/cgi-bin/ezmlm-cgi?17:mss:634:200902:aglgcgbhmfcheffmdgon License: http://sam.zoy.org/wtfpl/ Comments: It’s no different from dedication to the public domain. Author has submitted license approval request — author is free to make public domain dedication. Although he agrees with the recommendation, Mr. Michlmayr notes that public domain doesn’t exist in Europe. Recommend: Reject

OSI Board Meeting Minutes, Wednesday, March 4, 2009 [archive]

Nous sommes passés de la licence WTFPL à AGPLv3 pour uMap à partir de la version 2 (à venir). Notamment car elle n’était pas acceptable pour l’OSI ce qui nous posait des problèmes pour obtenir des financements européen ou pour bénéficier des plans open-source de services comme BrowserStack.

Le seul service qui a accepté la licence WTFPL sans broncher est Sentry, ceci en un temps record.

Simply put, the AGPLv3 is effectively the GPLv3, but with an additional licensing term that ensures that users who interact over a network with modified versions of the program can receive the source code for that program.

The fundamentals of the AGPLv3 [archive]


La prévalence des drogues chinoises, et synthétiques en général, sur le marché a eu des conséquences au Mexique voisin. Dans une vidéo de fin 2020, The Intercept montre que la baisse drastique de demande en héroïne au profit du fentanyl a des conséquences humaines considérables. « Les cultivateurs de pavot au Mexique doivent se résoudre à migrer pour travailler ou se tourner vers le crime organisé », raconte le média, partageant des témoignages de personnes précaires encore appauvries par la situation.

Crise des opioïdes : pourquoi il ne faut ni l’oublier ni l’ignorer [archive]

Je n’avais pas encore pris conscience de tous les enjeux socio-économico-géopolitiques de ces nouvelles drogues. Il y a des guerres qui sont moins médiatisées que d’autres.

Violence

Il y a une forme de violence à dire — de manière plus ou moins directe — à des personnes que les outils numériques qu’elles utilisent ne sont pas appropriés. D’autant plus en ne proposant pas d’alternative réellement utilisable : 

Si la -action est inappropriée, c’est peut-être que l’action initiale ne l’était pas non plus…

Version

Il y a cette appréhension à sortir une version 2 qui est bloquante sur pas mal de projets / produits / outils. Réduire ses ambitions quitte à planifier les versions 3 et 4 par la même occasion est un moyen de faire baisser la pression de ses propres attentes. Ce n’est plus l’évènement mais un évènement parmi les suivants qui vient s’intégrer dans une dynamique plus globale.

Il y a d’un côté l’effort pour les personnes qui vont l’utiliser et de l’autre la motivation [archive] pour les personnes qui vont développer et maintenir le produit.

Je caricature mais on est vendredi.

Archives

Google will no longer be keeping a backup of the entire Internet. Google Search’s “cached” links have long been an alternative way to load a website that was down or had changed, but now the company is killing them off. Google “Search Liaison” Danny Sullivan confirmed the feature removal in an X post, saying the feature “was meant for helping people access pages when way back, you often couldn’t depend on a page loading. These days, things have greatly improved. So, it was decided to retire it.”

Google will no longer back up the Internet: Cached webpages are dead [archive]

(rires)

Forcément en lisant ça un samedi matin, j’étais immédiatement motivé pour améliorer la façon dont j’archive les liens par ici. À commencer par des méta-données qui permettraient d’avoir une prévisualisation des liens un peu enrichie.

Je me dis que je ne dois pas être le seul à essayer d’extraire des informations des pages. Et j’en trouve pas mal : hyperlink_preview, extruct ou url_cache pour ne citer qu’eux. Cela me met sur la piste de Lassie qui semble extraire ce que j’aimerais avoir : une image ou favicon, potentiellement une description, ainsi qu’une langue. Jake Lazaroff m’avait depuis répondu qu’il génère en fait ses vignettes au moment de la construction du site. Je ne veux pas totalement suivre cette approche car je ne veux pas stocker d’images additionnelles mais je vais essayer d’avoir une solution hybride.

Cela m’embête de plus en plus de coupler le générateur de site aux (méta-)données des archives. À méditer.

Pour ce qui est de l’interface, ça attendra un autre jour. J’ai tout de même ajouté des attributs hreflang et la bonne langue dans les pages d’archives, un truc qui me grattait depuis un bout de temps.


Cela fait bien longtemps que je regrette d’avoir acheté des enceintes Sonos. Hier — encore une fois frustré par l’application proposée par défaut — je découvre SoCo ainsi que soco-cli après quelques recherches. Je passe ensuite la soirée à batailler avec Automator pour pouvoir faire un clic-droit sur un dossier local et que ça me lise les fichiers FLAC qui sont dedans.

J’arrive à la solution suivante :

on run {input, parameters}
    tell application "Terminal"
        do script "cd ~/sonos && sonos Chambre play_dir '" & (POSIX path of input) & "'"
    end tell
    return input
end run

Ce n’est pas très élégant et je n’ai pas réussi à faire en sorte que ça se lance dans iTerm mais au moins ça joue de la musique.


drab focuses on providing JavaScript functionality where it’s most useful. Many of the elements are helpful wrappers around browser APIs. Here are some of the features of the library.

drab - A Headless Custom Element Library [archive]

Le futur qui se dessine à ce sujet est très stimulant. Cela fait 15 ans qu’il y a une production de masse de code JS qui n’est ni réutilisable, ni interopérable. J’ai bon espoir que ce soit en train de changer.


When trying to defend this, economists typically claim that we have unlimited desire for new stuff. Apparently, rather than dedicating the time gains from technology to leisure, we pour it into making more stuff for ourselves. This is bogus. People do have a limited desire for new things, because dedicating yourself to endless production (and consumption) comes at the expense of hanging out with your family, friends and pets, or doing stuff like walking in the wilderness or surfing the waves. What people actually desire is a balance of many things, but the system we’re stuck in has unlimited desire for one direction only. That’s because it’s a vortex unleashed by humans who no longer know how to stop it.

Tech doesn’t make our lives easier. It makes them faster [archive]

Un bon article à lire après 24h de galères techniques 😅.

Open-source

Deux phrases du jour :

  1. Open Source is the Right to Repair, for software., sur masto
  2. uMap est-il un produit ou un commun ?, en réunion interne

Faute de temps, le développement est laissé comme exercice aux lecteur·ices.

Recherche

Seuls les contenus de ces 8 dernières années sont indexés.