Design & Développement web - Le topic des canards qui mangent des cookies

[Awake]

Excuse moi mais j'ai un peu du mal à voir la différence avec toutes les entreprises qui utilisent de l'open source pour s'enrichir, soit virtuellement toutes les entreprises tech au monde.

[vv221]

Les mécontents peuvent commencer par choisir la bonne licence..

J’ai choisi la BSD 2-Clause pour la plupart de mes développements libre, qui autorise Microsoft à réutiliser mon code pour grosso-modo tout et n’importe quoi à condition de me citer ainsi que les autres contributeurs en tant qu’auteurs. C’est une condition très facile à respecter, mais apparemment ils ont décidé que quand on est Microsoft on peut s’en cirer…

[Dross]

Lire du code ce n'est pas le réutiliser.

[tenshu]

Et c'est pour ça que je parle de l'AGPL depuis le début, et il n'y a rien qui empêche l'utilisation de code GPL/AGPL dans du code proprio.

What?

Évidemment que si tu utilises du code GPL dans une application elle doit être publiée sous licence GPL c'est tout le principe des licences contaminantes. Exception faite des licences LGPL qui répondent justement à cette possibilité.

[Awake]

J’ai choisi la BSD 2-Clause pour la plupart de mes développements libre, qui autorise Microsoft à réutiliser mon code pour grosso-modo tout et n’importe quoi à condition de me citer ainsi que les autres contributeurs en tant qu’auteurs. C’est une condition très facile à respecter, mais apparemment ils ont décidé que quand on est Microsoft on peut s’en cirer…

Mais tu as eu une notification sur github ou quelquechose dans le genre qui t'assure que ton code a été utilisé pour le ML du codex ? Comment tu sais que ton code est exploité ?

[tenshu]

Lire du code ce n'est pas le réutiliser.

Bah leur IA ne fait pas que lire, elle pisse aussi du code qui est sûrement très proche voir carrément identique à des portions de code libre qu'elle a étudié au préalable.

[Dross]

What?

Évidemment que si tu utilises du code GPL dans une application elle doit être publiée sous licence GPL c'est tout le principe des licences contaminantes. Exception faite des licences LGPL qui répondent justement à cette possibilité.

Non, pas forcément. Notamment dans le cas de dépendances non modifiées. Si tu créer une base de données sous licence GPL, j'ai toujours le droit de faire une application propriétaire qui utilise cette base de données. Si je modifie la techno de BDD là par contre oui, je serai tenu de republier le code etc, mais c'est un cas qui arrive pratiquement jamais.

- - - Mise à jour - - -

Bah leur IA ne fait pas que lire, elle pisse aussi du code qui est sûrement très proche voir carrément identique à des portions de code libre qu'elle a étudié au préalable.

Sauf que c'est bien ça qu'elle fait au final.

Si toi tu lis les repos de projet FOSS et que ton style de dev fini par être teinté par cet enseignement, personne ne viendra t’emmerder car tu utilise dans ton code un style d'écriture trouvé ailleurs, ça n'a aucuns sens. Et tout l'intérêt d'un entraînement IA est justement de ne pas sortir du copié/collé, mais un mix entraîné par de multiples sources.

Dit autrement, les propositions d'une IA sont originales.

[tenshu]

Ha bah oui une dépendance ok normal.

[Foksadure]

Lire du code ce n'est pas le réutiliser.

Surtout si plus personne n'écrit de spécifications techniques détaillées.

https://en.wikipedia.org/wiki/Clean_room_design

[vv221]

Lire du code ce n'est pas le réutiliser.

Faut arrêter avec cette pseudo-excuse bidon « On n’a pas à respecter les licences à partir du moment où on utilise le mot "IA" dans nos prospectus. ». C’est du bullshit marketing, rien de plus.

Je peux t’assurer que si je pique le code de Windows 10 pour nourrir une "IA", leurs avocats vont me tomber sur le râble dans la minute.

---

Mais tu as eu une notification sur github ou quelquechose dans le genre qui t'assure que ton code a été utilisé pour le ML du codex ? Comment tu sais que ton code est exploité ?

Ils n’ont pas prévenu qui que ce soit de l’utilisation de leur code. Je n’ai plus de source sous la patte, mais c’est à peu près admis qu’ils ont piqué le code de tous les dépôts publics, sans filtre.

[Dross]

Faut arrêter avec cette pseudo-excuse bidon « On n’a pas à respecter les licences à partir du moment où on utilise le mot "IA" dans nos prospectus. ». C’est du bullshit marketing, rien de plus.

Je peux t’assurer que si je pique le code de Windows 10 pour nourrir une "IA", leurs avocats vont me tomber sur le râble dans la minute.

Bien évidemment, vu que le code en question n'est pas disponible ni à la consultation ni à l'usage. Donc si t'a été en mesure de le lire/utiliser, c'est que y'a un soucis quelque-part et que t'a enfreint quelques règles au passage.

Et ce n'est pas du bullshit, c'est exactement comme ça que le ML fonctionne, ça lis des choses et ça fait des propositions originales de l'autre coté. Et comme ça doit lire énormément pour y arriver l'argument du copier-coller tiens pas trop, vu que c'est de la détection et reproduction de patterns.

Je suis certain que tout ça c'est juste des aboiements, y'a rien de solide derrière, à la rigueur on verra ptet des licences rajouter une clause de non utilisation du code pour l’entraînement de modèles mais sinon dans l'état actuel je vois pas trop ce qu'il y a à redire.

[Awake]

Ce serait étonnant qu'ils aient simplement choper tout github public pour leur ML. Ne serait-ce que pour garantir la qualité du code fourni à l'IA.

Dans tous les cas, le dernier truc que je veux faire c'est exécuter une requête SQL que je n'ai pas écrit, IA ou pas

[Charmide]

Ouais euh.. t'as beau mettre des guillemets autour """"IA"""" ça veut dire quelque chose vv, hein. C'est pas sorti du cul ou "marketing/bullshit". Et c'est clairement différent de ce que couvre le juridique et les licences actuelles comme "réutilisation", comme ça a déjà été dit.

- - - Mise à jour - - -

Ce serait étonnant qu'ils aient simplement choper tout github public pour leur ML. Ne serait-ce que pour garantir la qualité du code fourni à l'IA.

Dans tous les cas, le dernier truc que je veux faire c'est exécuter une requête SQL que je n'ai pas écrit, IA ou pas

Ils ont bien insisté que non quand c'est sorti, d'ailleurs ils avaient fait une FAQ qui mettait bien les gants sur ces aspects là. Ca empêche pas les théories du complot et le grand démon du capital mais bon.

[gros_bidule]

Dans tous les cas, le dernier truc que je veux faire c'est exécuter une requête SQL que je n'ai pas écrit, IA ou pas

De toute façon tu la reliras et la testeras ta requête, qu'elle vienne de GithubCopilot, d'un collègue ou de toi
Si ça peut récupérer rapidement des implémentations communes (apparemment c'est le nom de la fonction, + possiblement le contexte, qui déclenche l'assistance, donc si ton nom est ok, ton SQL pourrait être intéressant), ça peut faire gagner un peu de temps : des opération mathématiques (une médiane par ex, un truc pas du tout évident tel que le calcul d’éphéméride s'il n'y a pas de lib qui fait ça pour ton langage (vécu pour l'éphéméride)), ou des trucs cheloux comme la conf JWT sur une app SpingBoot, le genre de chose que de toute façon tu chercheras sur le web, et que tu testeras.
En tous cas je le comprends, et le souhaite comme ça. Et la prez sur le site semble le suggérer, du moins ça serait une des applications possibles.
Avec le risque que des débutants (ou mauvais devs) accordent trop de confiance à ces bouts de code, mais c'est un autre sujet.

[Awake]

Ouais dans le cadre de l'IDE c'est déjà plus logique. De toute façon il va falloir s'habituer à être assisté par des IA comme tout le monde. (puis à assister les IA plus tard...)

[William Vaurien]

Ce serait étonnant qu'ils aient simplement choper tout github public pour leur ML. Ne serait-ce que pour garantir la qualité du code fourni à l'IA.

Dans tous les cas, le dernier truc que je veux faire c'est exécuter une requête SQL que je n'ai pas écrit, IA ou pas

Il y a déjà tout un tas de générateur de code SQL dans les ORM qui se basent sur un contexte pour te sortir des requêtes. Et c'est bien souvent au runtime donc tu ne t'emmerdes pas à vérifier ce que pond le générateur.
Pour une requête complexe il vaut peut être mieux soit faire à la main soit reprendre la requête générée, mais concrètement le besoin de la requête artisanale ne se fait que rarement ressentir.

Par exemple avec Spring (mais c'est pompé de Grails, lui même ayant pompé sur Rails): https://dimitr.im/writing-dynamic-qu...pring-data-jpa

Maintenant il m'arrive de devoir faire des recherches en base pour un besoin ponctuel (rapport, recherche de cas, trouver des incohérences causées par un bug), et je voudrais bien avoir une IA qui me générerait le SQL à partir du langage naturel (Hé Alexa, retrouve moi toutes les personnes ayant un contrat depuis moins de 6 mois pour lesquelles il manque tel type de documents). Parce qu'aujourd'hui j'ai un vieux .txt avec des bouts de SQL que je garde pour réutiliser pour ce genre de truc (ou je passe par un petit programme pour utiliser l'ORM) Parce que dans mon contexte une personne c'est 4 tables, un contrat c'est aussi plusieurs tables, avec des dates de validité, etc, etc et que les requêtes sont vite pénibles à écrire avec des jointures, des contraintes de temporalités...
A mon avis on y est pas encore mais vu les progrès dans des domaines comme la traduction (là aussi il faut comprendre le contexte), j'imagine que je verrais un jour (pas trop lointain) ce type d'assistant.

Pour le code aussi, avoir un assistant qui transforme une phrase en du code je prend aussi: j'utilise déjà tout les outils de génération de code à la volée des IDE (les live templates) où une séquence de lettre se transforme en bout de code: certains sont très simple (sout pour println, psvm pour un main), mais il y en a des plus complexes qui reprennent le contexte pour créer des itérations ou autre: là l'IA à complétement sa place pour améliorer ce système.
Idem les IDE repèrent déjà des patterns et proposent de remplacer par un code de meilleure qualité: non seulement le code devient plus propre par magie, mais en plus l'IDE nous apprend certains idiomes du langage de cette manière.

Là encore l'IA a toute sa place pour améliorer ces mécanismes (en fait on pourrait déjà dire qu'il y a de l'IA dans les IDE depuis longtemps vu tout ce que ces outils sont capable de faire, c'est juste enrichir ce système avec du deep learning)

Par contre pour générer des applis complètes... On en est encore au stade de l'illusion comme ce version de GTA généré par une "IA": https://youtu.be/udPY5rQVoW0
(il me faut une IA pour mettre une video dans la balise youtube... )

[Awake]

Je suis globalement d'accord avec toi, ces outils peuvent être vraiment utile.

Par contre un query builder classique et un en deep learning ne fonctionnent pas du tout de la même manière. Il n'y a pas le même contrôle sur le SQL généré par l'IA, et elle peut se planter, même si la requête est bonne (contrairement au query builder classique). Tout ce que je dis c'est que ce n'est pas à utiliser en production. Mais pour l'autocompletion dans un IDE, carrément !

[William Vaurien]

Oui je suis bien d'accord avec ça, même si c'est difficile d'imaginer clairement ce que pourra faire une IA d'ici quelques années.

J'ai l'impression que certains managers vont se faire avoir par ce "miroir aux alouettes" en payant un truc sensé générer des applications de A à Z afin de pourvoir enfin se débarrasser des informaticiens qui lui cassent les pieds et lui pompent sont budget.
Sauf que derrière il faudra reprendre les 3/4 du code pour que ça marche à 100% et pas à 80% (en étant très optimiste), parce que d'une part j'ai du mal à imaginer une IA capable de faire autre chose que cracher des patterns sur des points très techniques (comme l'authentification) et d'autre part les spécifications ne seront jamais assez précise et qu'il faudrait aussi une IA pour ça...

J'ai déjà vu ce genre de comportement avec de la programmation visuel: la société cliente de ma SSII de l'époque avait acheté un outil propriétaire d'intégration visuel: en drag'n'droppant des icônes depuis une palette on pouvait "assez facilement" monter une application complète, ou du moins un traitement de flux.
Je me souviens du vieux manager en goguette très paternaliste qui venait faire un tour voir ses 'petits' prestataires en disant qu'avec son outil c'était devenu 'super simple de programmer'. Sauf que derrière les icones il y avait un tas infâme de XSLT utilisé comme langage de programmation (avec des structures de contrôle et conditionnelles). Bien évidemment ce fatras n'étais éditable qu'au travers de popups merdiques et aucunement factorisable et totalement inmaintenable. Le code spaghetti devenait visuel avec un enchevêtrement d'icones et de flêches, chacun cachant son lot de XSLT. Le tout avec un IDE rudimentaire, buggué et jamais mis à jour. Et pas de test, ni de vrai debugger...
J'ai encore des frissons en repensant à un programme gérant l'envoie de documents par fax: un vrai sac de nœuds.
Au final les devs finissaient par faire le dev en java en ne gardant qu'une coquille vide et inutile du prog visuel qui décrivait simplement les étapes et sous traitait toute la logique au java...

Désolé pour le HS, c'est pas vraiment spécifique web

[Nattefrost]

Sauf que derrière les icones il y avait un tas infâme de XSLT utilisé comme langage de programmation (avec des structures de contrôle et conditionnelles). Bien évidemment ce fatras n'étais éditable qu'au travers de popups merdiques et aucunement factorisable et totalement inmaintenable. Le code spaghetti devenait visuel avec un enchevêtrement d'icones et de flêches, chacun cachant son lot de XSLT. Le tout avec un IDE rudimentaire, buggué et jamais mis à jour. Et pas de test, ni de vrai debugger...
J'ai encore des frissons en repensant à un programme gérant l'envoie de documents par fax: un vrai sac de nœuds.
Au final les devs finissaient par faire le dev en java en ne gardant qu'une coquille vide et inutile du prog visuel qui décrivait simplement les étapes et sous traitait toute la logique au java...

Désolé pour le HS, c'est pas vraiment spécifique web

Condoléances.

[William Vaurien]

Video du truc (2011):



Là c'est une présentation officielle, c'est "à peu près propre", mais évidement ça finissait invariablement en bordel sans nom.
De plus le layout ne se mettait pas à jour correctement et le tout était truffé de bug: sortir/ajouter des tâches dans un groupe..., pas d'undo (hahaha).

Ce qui est marrant c'est les commentaires:

John "JMLeGolf" Manager
Its a simple and superb way of presentation in a timely manner.. ! thanks for sharing..

Ryan SeniorDev
TIBCO Designer may be able to create very simple projects quickly but there are some key drawbacks. It insists on XML for everything. Even to the point of using xpath for most of the routing logic and data formatting. There are no collection structures forcing you to make and parse comma separated strings. Also, while the diagrams look nice, they tend to hide all the important details-the actual logic that makes the activities work. All the useful data is hidden away in entry boxes and you can spend hours just trying to poke through all the processes. TIBCO seeks to eliminate text based programming and just makes a giant mess in the process in my opinion. The processes become a tangled ball of string which is nearly impossible to follow for projects of large size. It may make simple diagrams for management to follow, but it hides the information in hundreds of entry fields giving real programmers a headache. This is only my opinion.

Mais il y avait malgré tout des dev qui étaient content d'utiliser cette chose...

Nous avions aussi mis la main sur la liste des prix pour les "connecteurs" à acheter en plus, genre le magnifique "FileSystemPoller", qui étaient autour de 10.000$ pièce.
Ca nous avait beaucoup fait marrer avec mes compagnons de galère à l'époque.

J'espère que cette merde est morte depuis le temps (edit: ba apparement non, l'éditeur a été transformé en plugin eclipse mais bouffe toujours du Xpath !)
Tibco va sûrement en pondre une version auto-pilotée par IA

[deathdigger]

Video du truc (2011):

https://www.youtube.com/watch?v=XRV8zjhoDaU

Là c'est une présentation officielle, c'est "à peu près propre", mais évidement ça finissait invariablement en bordel sans nom.
De plus le layout ne se mettait pas à jour correctement et le tout était truffé de bug: sortir/ajouter des tâches dans un groupe..., pas d'undo (hahaha).

Ce qui est marrant c'est les commentaires:




Mais il y avait malgré tout des dev qui étaient content d'utiliser cette chose...

Nous avions aussi mis la main sur la liste des prix pour les "connecteurs" à acheter en plus, genre le magnifique "FileSystemPoller", qui étaient autour de 10.000$ pièce.
Ca nous avait beaucoup fait marrer avec mes compagnons de galère à l'époque.

J'espère que cette merde est morte depuis le temps (edit: ba apparement non, l'éditeur a été transformé en plugin eclipse mais bouffe toujours du Xpath !)
Tibco va sûrement en pondre une version auto-pilotée par IA

Je bosse avec quelques outils de ce type. Certains marchent pas mal, mais faut quand même s'arracher les cheveux pour faire des choses réglées en une ligne de code.

[GrandFather]

Pas de ça chez nous - fort heureusement -, par contre en matière d'usine à gaz coûteuse et qui finit au placard, on a eu des générateurs de workflow censés être utilisables par des non-informaticiens. Je crois que chaque grosse boîte en possède un qui prend la poussière sur un serveur.

[raaaahman]

Une question aux auto-entrepreneurs: comment vous définissez la nature de vos revenus? Bénéfices commerciaux (BIC) ou non-commerciaux (BNC)?

[Fastela]

Une question aux auto-entrepreneurs: comment vous définissez la nature de vos revenus? Bénéfices commerciaux (BIC) ou non-commerciaux (BNC)?

BNC - Profession Libérale.

[mellifico]

Micro-BNC !

[raaaahman]

Merci!

[Foksadure]

C'est bien ici que ça parlait de facturation de sites "programmés" avec Wordpress ?

https://securite.developpez.com/actu...ers-le-SI-DEP/

Cette heureuse découverte, on la doit à un utilisateur qui, après avoir effectué un test antigénique Covid-19 auprès d’une pharmacie liée au sous-traitant Francetest, est allé consulter le résultat de son test en ligne en utilisant le lien qui lui a été transmis par le pharmacien. En cliquant sur le lien qui lui a été fourni, l’utilisateur a été redirigé vers une adresse web de Francetest contenant une chaîne de caractères correspondant à première vue à des identifiants. En observant l'adresse, l'utilisateur a réalisé qu’il s’agissait d’un site conçu avec le système de gestion de contenu WordPress. Nous précisons au passage que l’utilisateur s’attendait à avoir affaire à un site web du gouvernement. Mais force est de constater qu’il n’en était rien.

En modifiant l’URL, l’utilisateur est parvenu à remonter à un répertoire contenant des identifiants permettant d’avoir accès à l’ensemble de la base de données du site. En utilisant ces identifiants, il a eu accès à plus de 700 000 résultats de tests Covid-19 liés aux nom, prénom, sexe, date de naissance, adresse mail, numéro de Sécurité sociale, etc., des utilisateurs. Au-delà des failles à répétition découverte dans le système de gestion de contenu WordPress, c’est le lieu de souligner que le développeur de Francetest a littéralement conçu ce site comme s’il devait partager des informations publiques.

En plus des résultats de tests Covid-19 qui étaient accessibles en clair, l’utilisateur a également constaté qu’il était possible de créer un compte sans être un professionnel habilité à faire des tests Covid, et cela, en saisissant simplement n’importe quel numéro dans le champ réservé à la saisie des numéros professionnels. En outre, en fouillant un peu plus, l’utilisateur a détecté que certaines données personnelles étaient sauvegardées automatiquement chaque jour en clair sur le compte personnel de [...], le fondateur de Francetest.

[...] facture le transfert de chaque formulaire à un euro

[tompalmer]

ça après si le mec ne sait pas paramétrer son Htaccess ou s'il a pas un WAF/Plug in qui bloque l'IP du mec curieux ..

[gros_bidule]

Lol
A tout hasard, est-ce que http://francedocteur.fr serait proche de francetest ?
J'ai eu à prendre rdv pour une opération sur ce premier, et je vous laisse constater l'état du site (bon en fait non c'est trop cruel : la plupart des liens ne marchent pas, la prise de rdv te crée un compte mais tu n'y a pas accès, et ladite prise de rdv est à moitié pétée, j'ai du appeler la clinique pour confirmer mon rdv).
Les gens sur place sont très bien, mais le site, ho purée...

[tenshu]

ça après si le mec ne sait pas paramétrer son Htaccess ou s'il a pas un WAF/Plug in qui bloque l'IP du mec curieux ..

Pardon mais comme d'hab tu ne sais pas de quoi tu parles.

Le problème c'est pas de pouvoir accéder a un script qui devrait être bloqué par un htaccess.
Ni d'avoir un plugin(?) de blocage d'ip (un fail2ban serait pas du luxe mais c'est pas le sujet)

A priori pour la possibilité de consulter n'importe quel test : url pas assez obfusquée, ou oublie de mettre la route derrière une authentification.
Pour la connexion en temps que pro, là la validation de l'authentification n'est même pas développée.