Deutsch
Germany.ruФорумы → Архив Досок → Программирование

Кто что думает по поводу уязвимостей Meltdown и Spectre?

449  1 2 все
dymanoid знакомое лицо05.01.18 20:04
dymanoid
05.01.18 20:04  Кто что думает по поводу уязвимостей Meltdown и Spectre?

Похоже нас ожидает до 30% (а местами и больше) снижение производительности по IO на всех современных процессорах из-за программных заплаток. Некоторые даже повышение TDP намерили из-за постоянной чистки кеша.

Или ждём через 2-4 года новых процов и дружно покупаем их?

moose старожил05.01.18 21:24
moose
05.01.18 21:24  Re: Кто что думает по поводу уязвимостей Meltdown и Spectre?
В ответ dymanoid 05.01.18 20:04

не ожидает нас такое бешеное снижение. для специфических задач - возможно.

а вы знаете точно, как функционирует современная операционная система? "просматривали код" и мнение составили? поэтому самое разумное - продолжать дышать глубоко и решать проблемы по мере их возникновения (у ВАСКОНКРЕТНО) или реальной возможности возникновения. новости просматривать достаточно раз в квартал.

If idiots have a majority, it does not mean that they are right
dymanoid знакомое лицо05.01.18 21:33
dymanoid
05.01.18 21:33  Re: Кто что думает по поводу уязвимостей Meltdown и Spectre?
В ответ moose 05.01.18 21:24

Проблема аппаратная, а не программная. Даже не на уровне микрокода процессора. Решения не существует, есть только программные заплатки. Я склонен доверять выводам специалистов, которые видят большое падение производительности из-за сброса кэша при любом syscall-вызове. Даже логически это понять можно.

moose старожил05.01.18 21:37
moose
05.01.18 21:37  Re: Кто что думает по поводу уязвимостей Meltdown и Spectre?
В ответ dymanoid 05.01.18 21:33

бывают случаи, когда "гадать аналитически" оказывается не самым эффективным методом. я предпочитаю дождаться окончания "починки" и результатов реальных тестов. в числах и графиках. а до тех пор это для меня - проблема из медиа, не реальная, как ежедневный твит великого президента : )

If idiots have a majority, it does not mean that they are right
AlexNek патриот05.01.18 22:17
AlexNek
05.01.18 22:17  Re: Кто что думает по поводу уязвимостей Meltdown и Spectre?
В ответ dymanoid 05.01.18 20:04

Что то мне кажется, что проблему раздули журналисты.

Van Doren коренной житель06.01.18 13:59
Van Doren
06.01.18 13:59  Re: Кто что думает по поводу уязвимостей Meltdown и Spectre?
В ответ AlexNek 05.01.18 22:17

Когда твои пароли прочтут джаваскриптом, ты передумаешь?


https://www.mozilla.org/en-US/security/advisories/mfsa2018...

Microsoft Vulnerability Research extended this attack to browser JavaScript engines and demonstrated that code on a malicious web page could read data from other web sites (violating the same-origin policy) or private data from the browser itself.

AlexNek патриот06.01.18 15:08
AlexNek
06.01.18 15:08  Re: Кто что думает по поводу уязвимостей Meltdown и Spectre?

Когда предложат вразумительный алгоритм подобной реализации можно и передумать.

Либо я не правильно понял описание ошибки...

"Всё это происходит во внутренней памяти процессора на нескольких слоях кэша (в зависимости от архитектуры чипа). Уязвимость спекулятивного исполнения заключается в том, что злоумышленники могут получить доступ к данным, которые находятся в этой общей памяти — а это даёт злоумышленникам доступ к приложениям, которые оперируют этими данными."

Вот как связать прочитанные в кэше байты с каким то приложением?

Van Doren коренной житель06.01.18 15:43
Van Doren
06.01.18 15:43  Re: Кто что думает по поводу уязвимостей Meltdown и Spectre?
В ответ AlexNek 06.01.18 15:08

https://www.react-etc.net/entry/exploiting-speculative-exe...


Когда предложат вразумительный алгоритм подобной реализации можно и передумать

И злодеи первым делом сообщат тебе, что они его придумали.

AlexNek патриот06.01.18 16:32
AlexNek
06.01.18 16:32  Re: Кто что думает по поводу уязвимостей Meltdown и Spectre?
И злодеи первым делом сообщат тебе, что они его придумали.

Не нужно уподоблятся журналистам. Интересует исключительно принцип реализации, а не конкретные детали.


Из приведенного кода я не понял ничего, может объясните?

dymanoid знакомое лицо06.01.18 17:36
dymanoid
06.01.18 17:36  Re: Кто что думает по поводу уязвимостей Meltdown и Spectre?
В ответ AlexNek 06.01.18 16:32

Читать тут на русском. Не забыть прочитать комментарии, там объясняют для совсем непонятливых.

moose старожил06.01.18 21:15
moose
06.01.18 21:15  Re: Кто что думает по поводу уязвимостей Meltdown и Spectre?
В ответ dymanoid 05.01.18 20:04

как-то администратор одного сайта мне "в шутку" написал, что может мне "такое устроить", стоит мне зайти на какой-то сайт. я ему в ответ предложил дать мне линк на этот сайт, пообещав не предъявлять никаких претензий в случае чего. весь из себя напрягся... а он ретировался...

так и здесь. обращаюсь к параноикам: куда пойти и что сделать, чтобы "мои самые главные пароли" самым злобным хацкерам обизвестнить? думаю, в ответ будет (как всегда) полная жопа. потому что "за базар ответить" не каждому дано. так стоит ли базарить?

зы. простите за "феню". но в подобной теме иногда это - самый подходящий жаргон : )

If idiots have a majority, it does not mean that they are right
Van Doren коренной житель07.01.18 01:10
Van Doren
07.01.18 01:10  Re: Кто что думает по поводу уязвимостей Meltdown и Spectre?
В ответ moose 06.01.18 21:15

Странный ты какой-то... Ты предлагаешь нам заняться уголовщиной? Теоретическая возможность существует, 100% найдутся люди, которые это будут использовать. Где и кто - ты, естественно, не узнаешь. Кстати говоря, даже здесь на германке временами и местами существовала возможность инжектирования своих скриптов, на что администрация де факто не отреагировала.

AlexNek патриот07.01.18 13:48
AlexNek
07.01.18 13:48  Re: Кто что думает по поводу уязвимостей Meltdown и Spectre?
В ответ dymanoid 06.01.18 17:36

Чёт Вы не поняли - как именно проводятся атаки меня абсолютно не интересует.

Интересует как на основе полученных данных (похоже всего байт можно прочитать) можно прочитать конкретные данные определенного приложения.

Пока проблема видится чисто теоретической.

dymanoid знакомое лицо07.01.18 14:29
dymanoid
07.01.18 14:29  Re: Кто что думает по поводу уязвимостей Meltdown и Spectre?
В ответ AlexNek 07.01.18 13:48

Прочитать можно не байт, а хоть всю память. Просто по байту приходится читать, и в зависимости от процессора за раз можно прочитать до 550 кб вроде (потом процессор сбрасывает кеш). Имея дамп памяти процесса, можно оттуда утянуть всё что угодно. Хоть пароли, хоть номера карт.

AlexNek патриот07.01.18 14:47
AlexNek
07.01.18 14:47  Re: Кто что думает по поводу уязвимостей Meltdown и Spectre?
В ответ dymanoid 07.01.18 14:29

Как мне видится, дамп памяти имеет какой то смысл, когда это действительно снимок в конкретный момент времени. А 4/8/16 гигов вычитать по байты или даже мегабату...

Да и почему у меня в памяти сейчас должны быть пароли? Это надо найти сигнатуру конкретной версии популярной проги и дальше ждать пока я буду что то пользовать.

dymanoid знакомое лицо07.01.18 15:39
dymanoid
07.01.18 15:39  Re: Кто что думает по поводу уязвимостей Meltdown и Spectre?
В ответ AlexNek 07.01.18 14:47

Поверьте, есть люди, которые очень хорошо знают, когда, что и как читать. Для этого им не надо вычитывать гигабайты, достаточно и пару килобайт.


А вот и первые проблемы после Майкрософтовских заплаточных патчей. У всех пользователей с матерями на сравнительно новых Интеловских чипсетах перестала запускаться Асусовская утилита AI Suite 3. У меня в том числе. В Асусе пишут, что проблему нашли, и она пришла именно из-за этого патча. Работают над решением вместе с Майкрософт, скоро будет ещё один апдейт.


Кто знает, сколько ещё софта поломается вот так...

moose старожил07.01.18 22:23
moose
07.01.18 22:23  Re: Кто что думает по поводу уязвимостей Meltdown и Spectre?
В ответ dymanoid 07.01.18 15:39
Поверьте, есть люди, которые очень хорошо знают, когда, что и как читать. Для этого им не надо вычитывать гигабайты, достаточно и пару килобайт.

http://mistikasecret.com/sushhestvuyut-li-na-samom-dele-ve...


...

Английский юрист Вильям Вест, живший в шестнадцатом веке, смог выразить чёткое определение понятия «ведьма», а звучало оно так:

«Чаще всего ведьмы — это обычные женщины, поддавшиеся уговорам нечистой силы и заключившие с ней сделку. Эти женщины уверены, что способны чинить беззакония и насылать проклятия абсолютно безнаказанно. Умеют летать на метле или вилах, а ночью придаются веселью в обществе мужчин».



...

If idiots have a majority, it does not mean that they are right
AlexNek патриот08.01.18 01:25
AlexNek
08.01.18 01:25  Re: Кто что думает по поводу уязвимостей Meltdown и Spectre?
В ответ dymanoid 07.01.18 15:39
Поверьте, есть люди, которые очень хорошо знают, когда, что и как читать.

вообще то я неверующий...

Ну да ладно прочитали они с проца инфу, а с процессом как связать? Ну да ладно, есть кто-то кто знает, на крайняк у Билли можно спростить. спок


Еще можно исходить из того, что описания атак свободно лежат в открытом доступе. Те кто это выкладывали видимо тоже не полные идиоты. Вот ребятки вам начало алгоритма сооздания бомбы. Окончание придумайте сами.

BlauerKarter34 местный житель09.01.18 13:31
09.01.18 13:31  Re: Кто что думает по поводу уязвимостей Meltdown и Spectre?
В ответ dymanoid 07.01.18 15:39

Это как спор со спид-диссидентами, если релизы Мозиллы и Гугла не заставляют задуматься улыб

(СПИД, высадку на луну, Meltdown - всё журналюги выдумали)

Murr патриот09.01.18 16:58
Murr
09.01.18 16:58  Re: Кто что думает по поводу уязвимостей Meltdown и Spectre?
В ответ dymanoid 05.01.18 20:04

Корпорация Microsoft приостановила распространение обновления безопасности для Windows, которое закрывает уязвимости Meltdown и Spectre. Патч стал причиной полного отключения компьютеров с процессорами AMD.


«Microsoft получила жалобы от обладателей чипов AMD о том, что их компьютеры перестают включаться после обновления безопасности операционной системы Windows», — сказал представитель компании.



------


В связи с этим снова нужно ставить вопрос - кто будет оплачивать сломанные билли компы?..


1 2 все

Перейти на