antistress a écrit 4434 commentaires

Tu as pitet lu l'article correspondant sur Numerama ?

Merci
uBlock Origin fonctionne pour YT sans configuration préalable je pense

Je ne connaissais pas, merci
Par contre pas de release récente https://github.com/cowlicks/privacypossum/tags

J'ai arrêté de rechercher la perfection pour ma part, et me repose sur les réglages internes de Firefox dont le mode Strict de protection et quelques réglages avancés, ainsi que tout de même Decentreleyes qui vise un pb spécifique
https://libre-ouvert.tuxfamily.org/index.php?article230/ma-configuration-de-firefox-a-mi-2022

J'ai tout de même réinstallé uBlock Origin mais c'est à cause des pubs YouTube

Exactement, merci d'avoir précisé ce point

Je ne comprends pas les gens qui sont contre les flatpak alors que

Ha ben moi j'ai déjà Debian, et j'ai choisi de passer un grand nombre d'apps en flatpak, comme quoi… (https://libre-ouvert.tuxfamily.org/index.php?article205/au-revoir-debian-bonjour-debian-avec-flatpak)

On peut aussi se demander si nous (les différents acteurs) sommes également sollicités, ou si l'entreprise est sacralisée par exemple dans notre société, donc intouchable. Voire toute demande de régulation face à laquelle le risque d'inconstitutionnalité est brandie (coucou les industries du droit d'auteur et autres) vs ce que les citoyens se voient imposés en général sans vergogne (et, depuis deux ans, de manière encore plus flagrante, mais même sans tenir compte de cette période exceptionnelle qui ne fait que durcir le trait).
Je trouve que ton "nous" fictif élude un peu vite quelques débats ;)

Il conviendrait de définir ce que tu qualifies de défaut de conception accidentelle. Si le fabriquant n'est pas sanctionné, il peut être amené à prendre des risques de conception puisque les conséquences ne sont pas pour lui. C'est un rapport coût/bénéfice.

Bon ben c'est bien ça visiblement, pas d'erreur sur www.service-public.fr merci
La loi de 2008 est vraiment une loi scélérate de ce point de vue, qui lèse clairement le consommateur dès lors que la chose est complexe et durable. Le vice peut se révêler plus tard, comme ici.

Je partage cet avis, même si ça ne change rien au résultat :

Prévoir un délai de prescription cinq années après la vente, sans considération pour la nature du bien vendu, dont la durée de vie attendue peut parfois dépasser plusieurs dizaines d’années, c’est encourager l’obsolescence programmée.

Ha merci, je n'avais pas du tout en tête le délai de 5 ans de la loi n°2008-561 du 17 juin 2008 portant réforme de la prescription en matière civile.
Par contre j'ai des doutes quant au point de départ du délai de 5 ans, cf art. 2224 du code civil : Les actions personnelles ou mobilières se prescrivent par cinq ans à compter du jour où le titulaire d'un droit a connu ou aurait dû connaître les faits lui permettant de l'exercer.
Je cherche une source plus complète sur la question du coup, si tu as je veux bien

Le prescription court de la découverte du vice ; par ailleurs je ne sais pas d'où tu tires ton délai de 5 ans !
Ni la durée ni le point de départ ne sont justes.

Pour être complet :
Si la chose est impropre à l'usage auquel on la destine ou que le défaut diminue tellement cet usage que l'acheteur ne l'aurait pas acquise ou n'en aurait donné qu'un moindre prix s'il les avait connus, et que le vice n'était pas apparent, la GVC peut être actionnée (sauf prescription)

j’oubliais/ignorais qu’il faudrait (probablement) une volonté de dissimuler ces failles pour activer une telle close.

Ce n'est pas le cas.
La mauvaise foi est prise en compte mais à un autre stade, pour évaluer la validité d'une clause d'exonération par le vendeur de sa garantie. Or une telle exonération a priori n'est pas possible entre un professionnel et un particulier (il n'y a pas à démontrer la mauvaise foi en ce cas, qui est présumée).
Si la chose est impropre à l'usage auquel on la destine et que le vice n'était pas apparent, la GVC peut être actionnée (sauf prescription)

Top, merci !

• à la fin : "bénéficies-tu un meilleur suivi" il manque un "d'" pour faire "bénéficies-tu d'un meilleur suivi"

• Un crochet ouvert se ballade dans la 1re phrase
• dans la phrase "par lequel Intel intégrait de plus" il fallait lire "par lequel Intel intégrait de plus en plus"

Merci d'avance à la modo !

Bon, pour être précis, concernant les Ivy Bridge :

No new MCU updates starting June 2020

(MCU=microcode update)

https://software.intel.com/content/dam/develop/public/us/en/documents/affected-processors-transient-execution-attacks-by-cpu-aug20.xlsx

Par contre, à partir de Ivy Bridge et de Linux 5.9, le jeu d'instruction FSGSBASE (actif par défaut sur les CPU pris en charge) permettrait de regagner des performances là où le code pour réduire les nombreuses vulnérabilités matérielles liées à l'implémentation de la prédiction de branchement dans les microprocesseurs de la dernière décennie aurait quand même bien impacté lesdites performances.

• https://www.phoronix.com/scan.php?page=news_item&px=FSGSBASE-For-Linux-5.9 (v. les tests de performances dans les articles cités)
• https://outflux.net/blog/archives/2021/04/05/security-things-in-linux-v5-9/
• https://lwn.net/Articles/821723/
• https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/best-practices/guidance-enabling-fsgsbase.html

Plus sur Fission : https://mystor.github.io/fission-news-1.html

Bon, en tout cas ma config matérielle date de septembre 2012, et j'ai lâché ce WE sur lbc un peu plus de 50€ pour passer de 8 à 16 Go, donc je suis reparti pour quelques années avec mon matos (Inch Allah, car j'attends la livraison)
https://libre-ouvert.tuxfamily.org/?article114/mise-a-jour-materielle-de-mon-pc-et-quelques-reflexions-sur-l-obsolescence-programmee#Upgrade

En tout cas vérifier si le modèle ancien est patché.

Après il y a certainement d'autres couches de patch, en espace utilisateur.

On peut imaginer que le boulot fait sur les navigateurs dont Firefox protège mais je n'en sais rien en vérité pour cette faille en particulier
- patchs en urgence début 2018 : https://www.numerama.com/tech/319046-meltdown-spectre-pourquoi-mozilla-patche-son-navigateur-firefox.html
- refonte en cours du fonctionnement du navigateur (projet Fission) : https://blog.mozilla.org/security/2021/05/18/introducing-site-isolation-in-firefox/ (activé chez moi)

Oui merci, déjà fait (intel-microcode chez Debian)

Apparemment sur Kernel.org on a la liste des procs affectés pour chaque vulnérabilité, par ex pour "Special Register Buffer Data Sampling (SRBDS)" :
https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/special-register-buffer-data-sampling.html

J'ai exécuté spectre-meltdown-checker 0.45 (mon noyau chez Debian : Linux 5.18.0-2-amd64)

À la date de mise à jour du soft, il n'y a que 2 CPU vulnerability to the speculative execution attack variants qui ne concernent pas mon CPU vs 13 qui le concernent, donc clairement les processeurs de 10 ans d'âge ne sont pas à l'abri.

Toutes sont patchées sauf CVE-2020-0543 aka 'Special Register Buffer Data Sampling (SRBDS)' où mon CPU est exposé : le patch est dispo dans le noyau mais non actif : "Your CPU microcode may need to be updated to mitigate the vulnerability"

Intel ne patche pas forcément les vieux microcodes notamment

latest version is 0x21 dated 2019/02/13 according to builtin firmwares DB v222+i20220208

Un lien exhaustif serait appréciable du coup

Il y avait aussi un logiciel à lancer qui indiquait si on était concerné par les 1res failles