Wśród programistów obserwuję ciągłą morderczą rywalizację: o to kto napisze lepsze narzędzie, o to kto napisze nowsze narzędzie (bo społeczność starego, często lepszego, jest już obsadzona i nie można tam zostać gwiazdą), o to kto opracuje (w sensie poznania, albo stworzenia) nową, lepszą technologię.

Z zawodowego punktu widzenia to jałowa intelektualna rozrywka. Nie osiągnie się w ten sposób awansu pionowego w strukturze firmy, nie zostanie się udziałowcem czy nawet managerem. Osiągnąć można „awans poziomy” coraz węższa specjalizacja, umiarkowanie coraz większe pieniądze, coraz większa odpowiedzialność i obciążenie. Dopóki jedna iteracja technologii nie zostanie zastąpiona przez następną, wówczas taki człowiek stanie się opiekunem wymierających systemów, dopóki one będą.

Nie kupi się tą drogą willi w Konstancinie, Ferrari, czy małego, cichego pensjonatu w Prowansji.

Jak to, zakrzyknie ktoś, przecież celem życia programisty jest programowanie!

Dla pracodawcy nie jest to prawda. Dla pracodawcy celem pracownika jest dostarczenie produktu, który przyniesie dochód. Jak to będzie wykonane to szczegóły nie wychodzące poza dział technologii.

Jeśli jest to prawda dla człowieka, to bardzo szybko się wypali.

A biznesowo, systemy pisze się w tym albo w tamtym, i nie ma wielkiego znaczenia co jest bardziej eleganckie, czy do pewnego stopnia, wydajne. Liczy się to, co ma niższy próg wejścia. Wtedy na rynku jest więcej programistów danej platformy, można dostać więcej umiejętności za mniejsze pieniądze. Dowód? Dwa najważniejsze w Polsce projekty Social Web są napisane w szeroko pogardzanym PHP.

Obserwuję na blipie, najczęściej nastolatków, dla których nauczenie się programowania jest celem samym w sobie. Trochę to przerażające, ciśnie się na usta palahniukowskie „nie jesteś swoim językiem programowania”.

Największą szkodę Pythonowi wyrządził Paul Graham.

Na początek cytat, z umowy społecznej Projektu Debian (wersja polska):

4. Nasze priorytety to użytkownicy oraz wolne oprogramowanie

Będziemy się kierować potrzebami naszych użytkowników oraz społeczności ogólnodostępnego oprogramowania. Ich interesy będą naszymi priorytetami. Dla naszych użytkowników dostarczymy wsparcia w różnej postaci środowiska komputerowego. Nie odwrócimy się od oprogramowania nie mieszczącego się w naszych kryteriach wolności przygotowanego do współdziałania z systemem Debian, również wymagającego opłat za jego używanie. Pozwolimy innym na tworzenie dystrybucji wzbogaconych dowolnymi komponentami, bez żadnych opłat przeznaczonych dla nas. Aby osiągnąć te cele, dostarczymy zintegrowany system o wysokiej jakości, zawierający tylko wolne komponenty, bez żadnych prawnych restrykcji, które mogłyby zastrzec jego sposób wykorzystania.

Kropla pierwsza to Firefox 3. Wielka akcja marketingowa, ściągnąłem, rozpakowałem na domowej workstacji, odpalam. requires GTK 2.10 or higher
Nawet mi się nie chce zaczynać flejma na debian-devel, bo ja oczywiście wiem co usłyszę w odpowiedzi, otóż uslyszę że Firefox 3 jest niewystarczająco ogólnodostępnym oprogramowaniem i mam używać wersji zgodnej z wytycznymi zasad wolności oprogramowania, czyli iceweasela. Który nie działa, i którego nie ma w backportach na stabilnego Debiana.

Eloy wynorał w końcu jakiegoś backporta GTK 2.10, ale buzz firefoxa został już zastąpiony wkurwem debianowym.

Drugą kroplą był Urban Terror. Gramy w to czasem po pracy. Kiedy jest planowana ustawka, przynoszę swojego laptopa (MacBook z kiepską kartą graficzną Intel GMA 950, na którym UrT chodzi bardzo dobrze), ale raz ustawka byla spontaniczna. W pracowej workstacji mam Radeona RV280, który wydaje się być wystarczający do obsłużenia tej gry. Jako system operacyjny mam Ubuntu 7.04, które zastąpiło Debiana po którymś upgradzie, po którym nie mogłem się dogadać z driverem do wspomnianego Radeona, a ten z kartą. Ubuntu wtedy poszło od kopa, jak się okazało z małym haczykiem.

Haczyk ten był taki, źe włączył się driver „ati”, który nie umie nic, a UrbanTerror się wywala. Można go puścić wprawdzie z driverem renderera programowego, ale gra ma wtedy 1/10 FPS. Nie da się grać, nie da się nawet klikać w menu.

Podejście do komercyjnego drivera „fglrx” skończyło się fiaskiem, nie dogaduje się z tą kartą i już. Pozostał jeszcze driver „radeon”. Gra odpaliła się, i nawet zadziałała, ale wyglądała, jak wizja po kwasie:

Wszystko to zajęło ponad 2h. Werdykt jest taki: do biurowych prac, Linux ok. Do czegokolwiek więcej, albo inwestycja w nVidię i dużo radości z uruchamianiem, albo cokolwiek innego.

Dlaczego tak jest, dowiedziałem się dzisiaj, z Linux Hater’s Blog.

Jeśli Debian tak dba o potrzeby swoich użytkowników to nie chcę wiedzieć jak traktuje swoich zadeklarowanych wrogów.

I jeszcze z /.: “Technical people write software like Debian Linux.”.

[thx to Młotek i Jubal za linki]

Parę osób podesłało linki o ostatnim bugu w OpenSSL w Debianie, więc skomentuję z punktu widzenia crypto:

1. co należy zrobić jeśli mamy Debiana: upgradnąć OpenSSL-a i wymienić wszystkie klucze z w nim używane (ogólnie jak to się nazywa „certyfikat” to trzeba założyć nowy);
2. jest to problem z generatorem kluczy kryptograficznych w debianowej paczce z OpenSSL (Debian Security Advisory DSA-1571-1);
3. jest na ten problem wystawione CVE ale jeszcze nie jest opublikowane;
4. problem dotyczy Debiana i dystrybucji pochodnych (Ubuntu, Xandros), NIE dotyczy reszty instalacji OpenSSL (np na Solarisie);
5. NIE JEST to problem klasy remote root exploit, przynajmniej na razie;
6. nie jest też dla mnie jasne czy problem nie jest zarażliwy, tzn czy klucz którym negocjowaliśmy Z serwerem na którym jest niedobry OpenSSL należy uznać za skompromitowany, może tak być;
7. należy zapaczować systemy i przegenerować wszystkie klucze OpenSSL, OpenSSH i pochodne używane od 2006, ale nie nerwowo, dotyczy to kluczy do: TLS, OpenSSL, OpenSSH, OpenVPN, DNSSEC, i inne w standardzie X.509;
8. należy unieważnić wszystkie klucze DSA których dotknął debianowy OpenSSL, ale znowu, nie nerwowo;
9. błąd polega na tym, że można przewidzieć stan generatora liczb losowych używanego w operacjach kryptograficznych, co powoduje że można sobie przewidzieć kawałki obliczeń kryptograficznych które nigdy nie miały być przewidywalne;
10. prawdopodobieństwo włamania przez taką dziurę jest epsilonowe, to nie jest normalny exploit, żeby włamać się do szyfrowanej transmisji dalej trzeba wykonać wiele cięźkich obliczeń, jedyne co ten błąd zmienia, że nie będą one trwały miliona lat;
11. nie wiem ile, powiedzmy godzinę, albo tydzień, botnety w końcu nauczą się to łamać równolegle, takie obliczenia się nieżle zrównolegla;
12. łamliwa w tym wypadku jest autoryzacja ssh spalonymi kluczami, oraz weryfikacja podpisów, np S/MIME czy w trakcie negocjacji TLS robiona ze słabego hosta;
13. może być z tego jakiś worm, ale nie zaraz, raczej za tydzień, albo za miesiąc;
14. bardziej przydatne to będzie do phishingu, ale to będzie dość skomplikowane (trzeba zrobić atak przez pośrednika na złamanym certyfikacie);
15. z punktu widzenia infosecu sytuacja jest niepożądana, ale normalna, to dla neutralizowania takich problemów powinno się co jakiś czas wymieniać klucze na wypadek ich spalenia, do tego są CRL-e, OCSP, do tego są procedury;
16. (macie procedury, prawda?);
17. (chciałbym obejrzeć to co się teraz dzieje w centrach certyfikacji kluczy, oni też używają Debiana);
18. centra certyfikacji będą miały dużo roboty teraz, do wymiany jest pierdyliard certyfikatów;
19. zarobią na tym dużo pieniędzy;
20. powyższe nie dotyczy softu kryptograficznego nie korzystającego z OpenSSL, w szczególności nie dotyczy GNU Privacy Guarda (gpg);
21. komentarze: Slashdot, Ben Laurie, LWN, Kravietz, Ben Laurie;
22. Debian obiecuje stronę z info co robić, na razie (2008-05-14 02:00 CEST) nic tam nie ma, how cute;
23. za to jest strona na Debian Wiki;
24. debianista który wtedy paczkował OpenSSL-a jest debilem;
25. nie popisali się też panowie z OpenSSL-a, ta poprawka była dyskutowana na liście dyskusyjnej OpenSSL-dev której twórcy OpenSSL nie czytają bo i po co;
26. w ramach ograniczania zniszczeń wyszła nowa paczka z OpenSSH (DSA), przy okazji upgrade wyrzuci wszystkie znalezione słabe klucze, uwaga, żeby się nie odciąć od serwerów, klucze można przetestować wcześniej tym skryptem;
    

Dobranoc państwu.