antistress a écrit 4524 commentaires

Le prescription court de la découverte du vice ; par ailleurs je ne sais pas d'où tu tires ton délai de 5 ans !
Ni la durée ni le point de départ ne sont justes.

Pour être complet :
Si la chose est impropre à l'usage auquel on la destine ou que le défaut diminue tellement cet usage que l'acheteur ne l'aurait pas acquise ou n'en aurait donné qu'un moindre prix s'il les avait connus, et que le vice n'était pas apparent, la GVC peut être actionnée (sauf prescription)

j’oubliais/ignorais qu’il faudrait (probablement) une volonté de dissimuler ces failles pour activer une telle close.

Ce n'est pas le cas.
La mauvaise foi est prise en compte mais à un autre stade, pour évaluer la validité d'une clause d'exonération par le vendeur de sa garantie. Or une telle exonération a priori n'est pas possible entre un professionnel et un particulier (il n'y a pas à démontrer la mauvaise foi en ce cas, qui est présumée).
Si la chose est impropre à l'usage auquel on la destine et que le vice n'était pas apparent, la GVC peut être actionnée (sauf prescription)

Top, merci !

• à la fin : "bénéficies-tu un meilleur suivi" il manque un "d'" pour faire "bénéficies-tu d'un meilleur suivi"

• Un crochet ouvert se ballade dans la 1re phrase
• dans la phrase "par lequel Intel intégrait de plus" il fallait lire "par lequel Intel intégrait de plus en plus"

Merci d'avance à la modo !

Bon, pour être précis, concernant les Ivy Bridge :

No new MCU updates starting June 2020

(MCU=microcode update)

https://software.intel.com/content/dam/develop/public/us/en/documents/affected-processors-transient-execution-attacks-by-cpu-aug20.xlsx

Par contre, à partir de Ivy Bridge et de Linux 5.9, le jeu d'instruction FSGSBASE (actif par défaut sur les CPU pris en charge) permettrait de regagner des performances là où le code pour réduire les nombreuses vulnérabilités matérielles liées à l'implémentation de la prédiction de branchement dans les microprocesseurs de la dernière décennie aurait quand même bien impacté lesdites performances.

• https://www.phoronix.com/scan.php?page=news_item&px=FSGSBASE-For-Linux-5.9 (v. les tests de performances dans les articles cités)
• https://outflux.net/blog/archives/2021/04/05/security-things-in-linux-v5-9/
• https://lwn.net/Articles/821723/
• https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/best-practices/guidance-enabling-fsgsbase.html

Plus sur Fission : https://mystor.github.io/fission-news-1.html

Bon, en tout cas ma config matérielle date de septembre 2012, et j'ai lâché ce WE sur lbc un peu plus de 50€ pour passer de 8 à 16 Go, donc je suis reparti pour quelques années avec mon matos (Inch Allah, car j'attends la livraison)
https://libre-ouvert.tuxfamily.org/?article114/mise-a-jour-materielle-de-mon-pc-et-quelques-reflexions-sur-l-obsolescence-programmee#Upgrade

En tout cas vérifier si le modèle ancien est patché.

Après il y a certainement d'autres couches de patch, en espace utilisateur.

On peut imaginer que le boulot fait sur les navigateurs dont Firefox protège mais je n'en sais rien en vérité pour cette faille en particulier
- patchs en urgence début 2018 : https://www.numerama.com/tech/319046-meltdown-spectre-pourquoi-mozilla-patche-son-navigateur-firefox.html
- refonte en cours du fonctionnement du navigateur (projet Fission) : https://blog.mozilla.org/security/2021/05/18/introducing-site-isolation-in-firefox/ (activé chez moi)

Oui merci, déjà fait (intel-microcode chez Debian)

Apparemment sur Kernel.org on a la liste des procs affectés pour chaque vulnérabilité, par ex pour "Special Register Buffer Data Sampling (SRBDS)" :
https://www.kernel.org/doc/html/latest/admin-guide/hw-vuln/special-register-buffer-data-sampling.html

J'ai exécuté spectre-meltdown-checker 0.45 (mon noyau chez Debian : Linux 5.18.0-2-amd64)

À la date de mise à jour du soft, il n'y a que 2 CPU vulnerability to the speculative execution attack variants qui ne concernent pas mon CPU vs 13 qui le concernent, donc clairement les processeurs de 10 ans d'âge ne sont pas à l'abri.

Toutes sont patchées sauf CVE-2020-0543 aka 'Special Register Buffer Data Sampling (SRBDS)' où mon CPU est exposé : le patch est dispo dans le noyau mais non actif : "Your CPU microcode may need to be updated to mitigate the vulnerability"

Intel ne patche pas forcément les vieux microcodes notamment

latest version is 0x21 dated 2019/02/13 according to builtin firmwares DB v222+i20220208

Un lien exhaustif serait appréciable du coup

Il y avait aussi un logiciel à lancer qui indiquait si on était concerné par les 1res failles

Merci. Chez Intel ces failles ne toucheraient que des CPU entre la 8è et la 10è génération au vu de ton dernier lien du coup ?
Pourtant https://www.pcworld.com/article/401674/intel-issues-meltdownspectre-fixes-for-ivy-bridge-sandy-bridge-as-patch-effort-winds-down.html, https://www.phoronix.com/scan.php?page=article&item=sandy-fx-zombieload etc. !

Mon Intel Core i3-3225, de la famille Ivy Bridge, acheté il y a 10 ans, serait un Core de 3è génération, donc trop vieux pour être touché si je comprends bien

Over on the Intel side, Core 6th Generation through Core 8th Generation CPUs are impacted—Skylake through Coffee Lake

Mon avis, en suivant ton ordre :

• savoir si la dépêche est longue

Perso je n'ai jamais eu besoin d'information supplémentaire pour le savoir : la longueur de la page est un indicateur déjà accessible et suffisamment précis pour moi, le reste c'est un peu de la branlette à mon ressenti

• savoir si les images sont trop grandes (pour les petits écrans)

true question : c'est un souci IRL ? Il n'y a pas de redimensionnement auto sur les appareils ?

• savoir si les images sont trop grosses (pour les petites bandes passantes ou les forfaits limités en volume)

Là je trouve que un poids excessif est pénalisant pour plein de raisons plus ou moins bonnes :
- philosophiquement, pourquoi ne pas ajuster les choses aux besoins ? (raison purement intellectuelle, je la mets là gratuitement mais c'est pas la plus déterminante)
- écologiquement : tous ces octets transférés et traités inutilement, franchement, c'est quand qu'on arrête le gaspi
- agrément du site : image plus grosse = plus longue à charger (et éventuellement plus coûteuse en forfait comme tu le soulignes)

• alerter la modération sur des seuils donnés

Je n'avais pas pensé à une automatisation, pourquoi pas.
Maintenant si la modo a accès à la liste des images avec leur poids, je pense que ça marche aussi, genre une liste dans l'ordre de la dépêche avec nom et poids de l'image en face, je sais pas si c'est magiquement possible ?

De mémoire Gégé était inexplicablement (pour un naïf) acquis à Microsoft [1] ; le nouvel élu depuis 2020 est EÉLV
https://fr.wikipedia.org/wiki/Liste_des_maires_de_Lyon#Cinqui%C3%A8me_R%C3%A9publique_(depuis_1958)

[1] Une recherche sur "lyon gérard collomb microsoft" est éclairante

Oui

Et j'adore le commentaire sur OSnews :

Meta has repeatedly warned that such a decision would shutter many of its services in Europe, including Facebook and Instagram.

Don’t threaten us with a good time, Zuck.

On retrouve, sous une autre forme, la question de la responsabilité des plate-formes dites de réseaux sociaux quant aux contenus qu'elles hébergent.

Si ces réseaux sortent de la neutralité éditoriale pour pousser certains contenus, ont-ils une responsabilité juridique dans la diffusion de ces contenus auprès du public ciblé ?

Certaines mauvaises langues y verraient la conséquence du passage de Lennart Poettering chez Microsoft, personnage que d'aucuns considèrent clivant : nous sommes évidemment opposés à la propagation de telles rumeurs.

Ha ok, j'avais cru comprendre que IBM avait plus de contraintes internes.
C plus clair merci

Tu peux développer la dernière proposition STP ?

Il va peut être passer chez IBM
Comme ça il garde son bureau