abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 22:55 | Zajímavý článek

Příspěvek Prozkoumejte Česko na Wikidatech: druhý díl zajímavých Wikidata Queries na blogu Wikimedie Česká republika je volným pokračováním příspěvku Prozkoumejte Česko na Wikidatech: 10 nejlepších Queries datového žurnalisty z července 2017. Tentokrát jsou díky Wikidatům a SPARQL zobrazeny Železniční tratě v Česku, Díly pořadu Gebrian VS na mapě nebo Citace vědeckých článků – srovnání českých univerzit, na níž publikující autoři působí.

Ladislav Hagara | Komentářů: 0
včera 19:44 | Komunita

Ovlivnit Ubuntu 20.04 LTS lze vyplněním dotazníku. Více v příspěvku na blogu Ubuntu.

Ladislav Hagara | Komentářů: 0
včera 12:33 | Zajímavý článek

Na stránkách české komunity Fedory vyšel zajímavý článek o tom, jak se generují flatpakové balíčky z již existujících balíčků RPM.

KOLEGA | Komentářů: 5
včera 12:22 | Zajímavý článek

Donald Ervin Knuth, přední informatik a emeritní profesor na Stanfordově univerzitě, rozšířil svou mnohasvazkovou odbornou monografii The Art of Computer Programming (TAOCP), v českém překladu Umění programování, o Volume 4, Fascicle 5. Donald Knuth svou novou knihu představil ve své přednášce Pi and The Art of Computer Programming.

Ladislav Hagara | Komentářů: 28
8.12. 11:44 | Zajímavý článek

Arsenij Zinčenko v zápisku sdílí technické poznámky o tom, co je to „klíčenka“ (keyring) v Linuxu a v desktopovém prostředí, jak to souvisí se Secret Service a D-Bus, včetně příkladů. Význam těchto služeb spočívá v uložení a následném poskytování autentizačních údajů.

Fluttershy, yay! | Komentářů: 0
7.12. 01:44 | Nová verze

V únoru 2014 bylo hlasováním rozhodnuto, že výchozím init systémem v Debianu je systemd. V listopadu stejného roku bylo hlasováním rozhodnuto, že o podpoře dalších init systémů v Debianu není celoprojektové hlasování nutné. Po pěti letech už ale hlasování o init systémech a systemd nutné je. Vybírá se z 8 možností. Výsledek hlasování bude zveřejněn po 27. prosinci.

Ladislav Hagara | Komentářů: 21
7.12. 00:11 | Zajímavý článek

David Revoy, autor open source webového komiksu Pepper&Carrot, se rozhodl, že svůj komiks vydá také knižně a ve vlastní režii. Komiks již knižně vyšel ve francouzštině ve vydavatelství Glénat. David Revoy jej vydá v angličtině a použije pouze svobodný software. O své zkušenosti se dělí ve dvou příspěvcích na svém blogu. Z plánovaných dvou týdnů práce se staly dva měsíce. Vydání před Vánocemi se nestihne. Kontrolní výtisk má příliš jasné barvy, obrázky v knihách od Glénatu vypadají mnohem lépe, …

Ladislav Hagara | Komentářů: 1
6.12. 20:44 | IT novinky

Mezinárodní konsorcium W3C (World Wide Web Consortium) vydalo verzi 1.0 základní specifikace WebAssembly a po HTML, CSS a JavaScriptu prohlásilo WebAssembly za čtvrtý oficiální jazyk pro web.

Ladislav Hagara | Komentářů: 26
6.12. 13:33 | Komunita

Hlasování o obrázku v okně O Inkscapu 1.0 pokračuje druhým kolem. Ze 124 obrázků postoupilo do finálního hlasování 5 s nejvíce hlasy. Výsledek hlasování bude zveřejněn po jeho ukončení, tj. po 15. prosinci.

Ladislav Hagara | Komentářů: 8
6.12. 02:11 | IT novinky

Společnost Purism představila mobilní telefon Librem 5 USA. Jedná se o telefon Librem 5 vyráběný v USA. Předobjednat jej lze za 1 999 dolarů. Librem 5 lze předobjednat za 699 dolarů.

Ladislav Hagara | Komentářů: 37
Jaké hodinky nosíte (nejčastěji)?
 (23%)
 (5%)
 (17%)
 (54%)
Celkem 529 hlasů
 Komentářů: 135, poslední 6.12. 20:54
Rozcestník

www.AutoDoc.Cz

Další bezpečnostní chyby v procesorech od Intelu

Intel dnes zveřejnil hned 18 upozornění na bezpečnostní chyby ve svých produktech. Řada z nich se týká procesorů. V upstream Linuxu se již objevují příslušné patche: TAA - TSX Asynchronous Abort (CVE-2019-11135), iTLB multihit (CVE-2018-12207), … K dispozici je také nová verze 20191112 mikrokódů.

12.11. 22:44 | Ladislav Hagara | Nová verze


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

Max avatar 13.11. 01:55 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Proč mně to nepřekvapuje :-/.
Zdar Max
Měl jsem sen ... :(
13.11. 02:28 Cabrón
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Mám radost, že jsem nepodlehl tlaku a kecům okolí a šel do Ryzena.
# curl -L https://meltdown.ovh -o spectre-meltdown-checker.sh
# bash spectre-meltdown-checker.sh
(...)
CVE-2017-5753:OK
CVE-2017-5715:OK
CVE-2017-5754:OK
CVE-2018-3640:OK
CVE-2018-3639:OK
CVE-2018-3615:OK
CVE-2018-3620:OK
CVE-2018-3646:OK
CVE-2018-12126:OK
CVE-2018-12130:OK
CVE-2018-12127:OK
CVE-2019-11091:OK
CVE-2019-11135:OK
Na Intel i některých ARM strojích tam mám několik CVEček "červených".
13.11. 07:50 Vera Pohlova
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Tyhle procesorove afery jen kazdeho otravuji a kazdym patchem snizuji vykon. Ja bych je zakazala.
Max avatar 13.11. 07:55 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Tak ono to už začíná docházet k dokonalosti. Už se bypasslo několik cache fcí a je doporučováno vypínat HT a zachvíli bude doporučeno nepoužívat ani zbytek cpu :).
Zdar Max
Měl jsem sen ... :(
13.11. 13:11 PetebLazar
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
A není to škoda zrovna v době, kdy nám velikost L3_cache/core dosáhla až na 16MB (EPYC 7262)?

Nestačilo by třeba jen přejít zpátky na in-order architekturu. ;-)

Max avatar 13.11. 13:51 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Bavíme se snad jen o Intelu, takže nechápu...
Zdar Max
Měl jsem sen ... :(
okias avatar 13.11. 12:06 okias | skóre: 45 | blog: blog_
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
A jak si všichni stěžovali na ty AMDčka, že jsou pomalá.. A nakonec ve výsledku, možná dopadnou v porovnání lépe a ještě bezpečnější.

Jsem zvědavý, jak se vyvine POWER9. Třeba se ukáže jako lepší cesta.
13.11. 13:16 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Už někdy v roce 1995 koloval vtip, kdy se Pentia zeptali, kolik je dva plus dva: "Pět! Sice špatně, ale rychle."
Quando omni flunkus moritati
13.11. 13:25 mngnt
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Ten vtip sa týka skôr tohto bugu pentia. Je pozoruhodné, ako reakcie Intelu ostali za celý ten čas rovnaké - aj vtedy o chybe dlho veeli a snažili sa tváriť akože nič, podobne ako pred časom pri prvých chybách v kategórii spectre/meltdown.
Max avatar 13.11. 13:54 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Tak ono se postupně ukazuje, že ty Intel optimalizace, co naháněly IPC, jsou tak děravý, že je postupně zase stahuje. Jinak už teď je IPC AMDéčka lepší. Aktuální stav je, že AMD : srovnatelný/lepší IPC, levnější, nižší spotřeba, nemají aktuálně žádný známý bezpečnostní problém.
Intel to s tou dírou v HT pokajdil, protože vypnuté HT = v některých operacích -40% výkonu.
A upozorňuji, že se tomu nesměji, jsem docela dost nasranej, sami totiž máme Intel only servery.
Zdar Max
Měl jsem sen ... :(
13.11. 14:28 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Tak to by určitě mělo jít vyreklamovat, ne...?
Quando omni flunkus moritati
Max avatar 13.11. 14:51 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Opíráš se o nějaký zákon? Nebo je to čistě hypotetická myšlenka?
Protože tak jako všichni jedou stylem : "za nic neručíme". Žaloby na Intel jdou ohledně těchto problémů z jiných důvodů (to, jak se zachoval CEO a pak Intel jako takový k akcionářům).
Zdar Max
Měl jsem sen ... :(
14.11. 01:55 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Sarkasmus. Už jsem to tu psal, co v IT projde do "za to neručíme", to je prostě neuvěřitelné...
Quando omni flunkus moritati
13.11. 15:49 Peter Fodrek | skóre: 11
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
>AMD : nemají aktuálně žádný známý bezpečnostní problém.

Som fanúšik AMD ale toto nie e pravda, akurát ich majú oveľa menej. https://arxiv.org/pdf/1811.05441.pdf

ono Spectre v1 má aj

IBM S/390

Release date :September 5, 1990 https://en.wikipedia.org/wiki/IBM_System/390

aj AMD.

Možno len MIPS je OK
Max avatar 13.11. 16:03 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Ale to už je zaplátovaný by microkod a by novější Ryzeny, ne?
Zdar Max
Měl jsem sen ... :(
13.11. 23:19 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Ne, Spectre se zaplatovat neda, leda, ze bys vypnul spekulativni exekuci uplne. Kdyz ma mit nejaky benefit, bude z definice vzdycky meritelny casovy rozdil v te exekuci. Jedine, co se s tim da realne delat, je nenechavat Spectre gadgety v kodu.

NetSpectre se potom rika utokum, kdy je Spectre gadget dostupny po siti (obzvlast 25GE, ktery ma nejnizsi latence, ten je na to uplne super).

Jinak Intel i IBM nakupovaly at the time inovace od stejnych firem, jen Intel je aplikoval tak agresivne, jak mohl. Az zacinam mit pocit, ze to cele byla uplne naschval power-play, ze dokud si toho nikdo nevsimne, muzou pracovat na zatlaceni AMD do zeme ultra-raketovym stylem. Ale trochu zapomneli zapocitat, ze jim samotnym se rozpadne next-gen vyrobni technologie pod rukama (EUV).
--- vpsFree.cz --- Virtuální servery svobodně
13.11. 16:51 j
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Vazne by me zajimalo, v cem je AMDcko mentalne lepsi, protoze neustale plati, ze Intel podava daleko vyrovnanejsi vykon (daleko mensi zavislost na konkretni aplikaci), a stale taky plati, ze Intel dava vic per MHz/core. A jelikoz nikoli nepatrna cast aplikaci nebezi (a nikdy nepobezi) na vice jadrech, tak je porad vykon jednoho jadra celkem podstatny parametr.

A samo, znamych bezpecnostni chyb ma i AMD celou radu. Prakticky vsechny chyby ktery Intel zverejni a popise se nasledne povede zprovoznit i na AMD.
13.11. 18:57 PetebLazar
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Zákazníci v ČR to patrně vidí jinak, pokud se 64-core model CPU (právě ten nejpomalejší z 64-core) stane nejžádanějším ze všech modelů řady Epyc Rome. ;-) https://www.abacus.cz/procesory-epyc-rome-7002-_c11778626.html
13.11. 23:12 Ovocucníček
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
"Prakticky vsechny chyby ktery Intel zverejni a popise se nasledne povede zprovoznit i na AMD."

To je hrubá nepravda, na AMD jde tak zrhuba osmina, ne-li míň chyb, co jsou objevené pro Intel. Je tam opravdu diametrální rozdíl (poněkud to sleduju).
13.11. 23:24 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Intel dava vic per MHz/core
Jen a pouze diky jejich 14++++++++++. Na 10nm jsou v riti jak Bata s drevakama, topi jim to a neuchladi ani ty frekvence, co dosahuji ted na 14nm.

Takovyhle fanboism neni nejlepsi metodou, jak si dobre vybrat, ale samozrejme si klidne utracej, za co chces ;-)
--- vpsFree.cz --- Virtuální servery svobodně
14.11. 08:33 j
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Blabolit si muzes co chces, ale serveru s Intelem je 99,9%. Navic nejde zdaleka jen o CPU, server s AMD sem videl, jeden, a dotycny zakaznik si uz vzivote AMD nekoupi. Nefungovalo na tom prakticky vubec nic. Tim nerikam ze zrovna tohle byl problem AMD, ale takovyhle sou zkusenosti nejednoho zakaznika.

Mimochodem, jeste porad provozuju xpm. Svoji praci vpohode odvede. Ale od ty doby co prislo core, vlaje AMDcko daleko na obzoru a horko tezko se drzi pri zivote, dokonce ho Intel musi dotovat. Toliko k blabolum o fanboism.
Max avatar 14.11. 09:21 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Pokud jde o toho zákazníka, bavíme se o Epycu, nebo starých Opteronech? Tzn., je to zkušenost čerstvá, nebo lovíš v paměti? Protože Opterony opravdu nestály za nic.

Ten druhý odstavec, to je fakt úlet, k tomu se nemá ani cenu vyjadřovat.
Zdar Max
Měl jsem sen ... :(
14.11. 12:22 qwe
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
lol to je ale kravina tenhle komentar
Max avatar 14.11. 09:17 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Nevím, co má být "mentálně" lepší. To by asi chtělo rozvést.
Pokud jde o tvrzení ohledně chyb, chtělo by to dodat nějaký zdroj, protože pramálo z toho šlo aplikovat na AMD (ty první zranitelnosti), další velké průšvihy se týkaly jen intelu.

Pokud jde o IPC, je na tom AMD srovnatelně, dnes už možná i lépe (většinou člověk najde na netu testy s nezaplátovaným Intelem :-/). Pokud jde o MHz/core, tak třeba my provozujeme až neskutečně moc aplikací a nevím o žádné, u které by dělal strop výkon CPU na core.

To, co dnes letí, je masivní paralelismus. Na jedné straně v rámci virtualizace, na druhé straně i v rámci samotných aplikací.
Maximální výkon na core pak není zrovna to, po čem člověk touží (pokud nedělá nějaké specializované výpočty). A díky těm chybám a zranitelnostem v HT se stává Intel nepoužitelným. A nejen těm chybám v HT, viz hned problémy na začátku : Fun with Spectre (s výsledkem). Problém je, že to byl jen začátek, pak to šlo teprve z kopce.

Pokud tu tedy argumentuješ burnem, tak když se budeš držet bezpečnosti, tak si u Intelu díky vypnutí HT odečti 40% výkonu, což je cca ta hodnota, o kterou v celkové maximální zátěži přijdeš.
Zdar Max
Měl jsem sen ... :(
13.11. 13:57 Andrej | skóre: 47 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

Protože v datových centrech, univerzitních i firemních, drtivě převažuje Intel, zaměřuje se výzkum chyb v procesorech (který vyžaduje spoustu výpočetního času, aby se chybu podařilo prozkoumat a spolehlivě reprodukovat) pochopitelně spíš na (snáze dostupný) Intel než na AMD. Proto je možné, že AMD má "v záloze" pár dalších, dosud neobjevených bezpečnostních chyb. Snad se poučili z chyb odhalených u Intelu (resp. u Intelu a AMD zároveň).

Jak se vyvine Power9? Samozřejmě je na Power9 jak Meltdown, tak Spectre. Příslušné opravy jsou ve firmwaru i v kernelu. Mají pochopitelně dopad na výkon.

Sny o "lepší cestě" mi někdy připadají úsměvné. Už jsem o tomhle diskutoval s cca 10 lidmi, kteří snili o bájné bezpečnosti Power9 natolik intenzivně, že se neobtěžovali zadat do vyhledávače jeden jednoduchý dotaz, zda má Power9 Meltdown a Spectre. :-D

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
13.11. 22:48 MadCatX
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Moc bych se nedivil, kdyby v Intelu nefungovala malá divize lidí, jejichž úkolem by bylo intelí díry reprodukovat na čipech od AMD. Vzhledem k tomu, že EPYCy jsou pro serverová nasazení hodně zajímavé a zároveň jsou tam intelí díry nejvíce cítit by to dávalo smysl :)
Conscript89 avatar 13.11. 23:06 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
A stejne tak naopak :)
I can only show you the door. You're the one that has to walk through it.
13.11. 23:34 MadCatX
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Nepochybně, ale Team Red zatím jednoznačně vede. Jako bonus ten nově vydaný mikrokód řeší tohle JCC Erratum, které dokáže zabrzdit výkon více než Spectre záplaty. Zdá se, že černý pátek nastal u Intelu o týden dříve...
13.11. 16:44 j
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Az na ten detail, ze AMDcka maji presne stejny chyby, jen je jejich zneuzitelnost redukovana jednak pomalosti toho CPU a druhak nulovou penetraci trhu.

Jinak receno, pokud je zneuzitelny trebas pouzivanich cache, tak logicky CPU kterej tu cache bud vubec nema, nebo ji ma 1/10, je "bezpecnejsi", protoze sance, ze v ty cache neco zajimavyho bude je proste mensi.

A presne takhle fungujou zatim uplne vsechny chyby o kterych se pise. Napr Inteli CPU provadej spekulace mnohem dal, takze je tu opet mnohem vetsi sance, ze bude k dispozici neco, co by vlastne byt nemelo. A presne na tom je ovsem zalozeny i vyrazne vetsi vykon.

Navic ve skutecnosti vsechny tyhle chyby vadej tak maximalne provozovatelum cmoudu.
13.11. 20:17 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

To je tak zavádějící "vysvětlení", že to až hraničí se lží. Realita je taková, že většina těch chyb je způsobena tím, že Intel při spekulativním provádění instrukcí ignoroval většinu kontrol s tím, že je stačí provést až při provádění "naostro", čímž procesoru ušetří práci v případě, že se větev nakonec zahodí. To byla zásadní chyba, protože už sama skutečnost, že se instrukce provedla, i když jen spekulativně, má různé vedlejší efekty, které jsou odhalitelné útočníkem (např. u Meltdownu to bylo načtení příslušné cacheline). U AMD nebyli tak neopatrní a do téhle pasti nespadli. Zpětně už se asi nedozvíme, jestli to bylo proto, že si to nebezpečí uvědomili, nebo proto, že prostě jen byli opatrnější.

Navic ve skutecnosti vsechny tyhle chyby vadej tak maximalne provozovatelum cmoudu.

Jistě, a to, že k některým existují veřejně dostupné exploity implementované v javascriptu, které se dají pustit přímo v prohlížeči, je jen iluze.

13.11. 23:17 Ovocucníček
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
No soudě podle příspěvku výš i tohohle a třeba toho "nenápadného" chlístu o pomalosti (momentálně jsou Epycy vákonnější než top Xeony) soudím, že ten jeho post moc úpřímnej nebyl. Asi holt fanda značky/troll/dobrovolnej shill...
14.11. 08:44 j
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Tohle ke kandidat na blabol roku: "U AMD nebyli tak neopatrní ..."

AMD se naopak cele roky snazili implementovat obdobne technologie a techniky, jen v tom opet cele roky zaostavaji (vymyslet znova kolo aby nevypadalo jako kolo holt nejakou dobu trva). Dukazem je prave to, ze drtiva vetsina tech zranitelnosti tam funguje taky. Jen treba pomaleji nebo s omezenimi, danymi prave tim, co tam neni. Je to stejny blabol, jako kdyz nekdo intelu vycita minix ... a AMD ma v CPU prakticky totez.

Exploit v js neni problem CPU ale browseru. Ale neboj se, bude to jeste mnohem a mnohem horsi. Viz WebAssembly.

14.11. 09:05 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
AMD se naopak cele roky snazili implementovat obdobne technologie a techniky, jen v tom opet cele roky zaostavaji

Raději si o tom konečně něco přečtěte nebo si třeba pusťte nějakou přednášku, na webu je jich plno. Zjistíte, že rozdíl u většiny těch problémů opravdu není v tom, že u AMD neimplementovali nějakou techniku, ale v tom, že je neimplementovali tak bezhlavě a potřebné kontroly provádějí i při spekulativním běhu. To sice stojí trochu výkonu, ale jak se ukázalo, vyhnou se tím leakování informací přes postranní kanály.

Dukazem je prave to, ze drtiva vetsina tech zranitelnosti tam funguje taky.

Tak se podívejte třeba na ty výpisy, které jsem sem dával včera. AMD procesorů se týká jen ta část Spectre vulnerabilities, která je v podstatě nevyhnutelným důsledkem spekulace jako takové (takže se týká i non-x86 architektur), a u novějších modelů SSB. Žádný Meltdown, žádné L1TF, žádné MDS, žádné TAA, žádný iTLB multihit. To má být ta vaše drtivá většina?

14.11. 09:46 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Fakt nechápu, proč se tolik lidí ještě pořád pokouší s tímhle "j" trotlem debatovat, přestože tady za posledních několik let z 95% mele akorát prokazatelné nesmysly...
Quando omni flunkus moritati
Martin Tůma avatar 14.11. 12:51 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

Jistě, a to, že k některým existují veřejně dostupné exploity implementované v javascriptu, které se dají pustit přímo v prohlížeči, je jen iluze.

Můžu poprosit o ty zdroje? Protože zjistit, co SKUTEČNĚ lze dneska skrze JavaScript z paměti dostat je, bez pročítání desítek vědeckých článků (a tam stejně většinou ty proof-of-concept kódy nejsou) zhola nemožné... A DTTO se skutečnými dopady těch záplat v jádře. Pokuď je například průměrná ztráta výkonu 25% a reálně se lze dostat pouze k datům daného webu (díky site-isolation v browserech) nedává moc smysl mít ty záplaty na desktopu zapnuté, obzvlášť na běžném 6 let starém desktopu, kde je každé procento výkonu už znát.

Každý má právo na můj názor!
Max avatar 14.11. 13:23 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
U některých chyb je putna, zda je js v prohlížeči izolován. Nevím, zda existuje veřejně dostupný exploit na něco konkrétního, jen existují videoukázky a konstatování, že je to možné implementovat i do js.
Spectre a Meldown byl ze začátku také zranitelný z js (příklady jsou). Poté výrobci prohlížečů implementovali do zpracovávání js snížení přesnosti časování, aby tyto chyby nebyly proveditelné.

Nové chyby, nové techniky a kolečko se opakuje.
Kdo neplátuje, vystavuje se zlovůli potencionálních útočníků. Já si při prvním Ryzenu koupil Intel i7 jednoduše proto, protože jich byly bazary plný a poměr cena/výkon byl lepší, jak při koupi nového Ryzenu. Výrobce desky vydal nový bios s novým mikrokodem + záplaty v jádře, které jsem samozřejmě nevypínal a nyní jdu i cestou vypínání HT.

Pokud jde o servery, tak samozřejmě virtualizujeme ve velkým a při poslední vlně chyb jsem zaplátoval také vše a naladil nové schedulery od vmware atd., kde vmware dle jejich vlastní testů zaznamenává oproti předchozí verzi scheduleru asi jen 25%(i méně) výkonnostní propad (scheduler-options-vsphere67u2-perf.pdf).
Zdar Max
Měl jsem sen ... :(
Max avatar 14.11. 13:28 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Ještě dodám, že na stránkách týkajících se posledních zranitelností, je i příklad zneužitelnosti přes js. Viz : mdsattacks.com.
Zdar Max
Měl jsem sen ... :(
14.11. 13:27 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

To, že v (některých) prohlížečích jsou implementovány workaroundy, které omezí praktickou proveditelnost útoku přes javascript, neznamená, že problém neexistuje. Pokud si opravdu stojíte za tím, že u desktopu není žádný problém, když může normální uživatel celkem pohodlně číst jakoukoli paměť jádra (nebo kohokoli jiného), co je pak vlastně špatného na tom, když se uživatel na začátku přihlásí jako root (nebo Administrator) a pracuje pod ním?

Musím říct, že jakkoli je to strašné, musím obdivovat efektivitu PR mašinerie Intelu. Jeden z největších bezpečnostních průšvihů se jim podařilo odignorovat tak, že většina poloodborné veřejnosti si z něho odnesla, že je to vlastně drobný technický problém, který netřeba brát vážně a hlavně se má primárně řešit úplně někde jinde, než kde je příčina. Autoři téhle scény jsou proti nim žabaři.

xxx avatar 14.11. 13:40 xxx | skóre: 42 | blog: Na Kafíčko
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Za prvy, neni to zadna skvela prace marketingoveho oddeleni Intelu, ale dusledek toho, ze kazdy kdo ma do prdele diru, ma dneska nejake dramaticky pojmenovane CVE.

Za druhy, ta otazka je zcela na miste, protoze velka cast tech zranitelnosti (obecne) ma hromadu omezujich podminek pro jejich zneuziti.
Please rise for the Futurama theme song.
Martin Tůma avatar 14.11. 14:03 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

Netvrdím, že to není žádný problém, ale ta praktická proveditelnost útoku je zásadní. Teoreticky lze veškerá vaše data z počítače získat pomocí klíče za pár dolarů, ale prakticky se to tak většinou nedělá...

A co se týče toho roota/admina, tak z hlediska bezpečnosti dat - a o ty jde - je (na jednouživatelském stroji) uživatelský přístup samozřejmě zcela ekvivalentní s tím rootovským. To rozdělení na user/root procesy je čistě z technických/praktických důvodů ale z hlediska bezpečnosti dat je zásadní jestli ty procesy jsou důvěryhodné, nebo ne (jestli mi bankovní účet někdo vybere pomocí uživatelského nebo rootovského procesu je úplně irelevantní).

Každý má právo na můj názor!
Max avatar 14.11. 14:15 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

...uživatelský přístup samozřejmě zcela ekvivalentní s tím rootovským..

To opravdu není.
Zdar Max
Měl jsem sen ... :(
Martin Tůma avatar 14.11. 14:46 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Jaká zajímavá data jsou na tvém desktopu dostupná pouze rootovi a proč si myslíš, že někdo prahne po nastavení tiskárny víc než po heslu k tvému bankovnímu účtu?!
Každý má právo na můj názor!
14.11. 15:05 prqek | blog: prqek
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Tak nějak https://xkcd.com/1200/:)
Max avatar 14.11. 15:08 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Minimálně na win má keyloger horší možnosti pod userem, než pod rootem.
Dále na PC bývá většinou více účtů (rodiče + děti apod.), takže jako "root" sejmeš všechny, jako "user" jen sebe.

To o té tiskárně jsem nepochopil.
Zdar Max
Měl jsem sen ... :(
Max avatar 14.11. 15:13 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Jinak to, že pod rootem ti bordel může odstavit veškeré zabezpečení, které by mohlo za normálních okolností na problém upozornit (např. hromadné a postupné cryptování souborů), je jedna z dalších věcí, jaký je rozdíl mezi "rootem" a "userem". Když tedy chceš ten příklad, co se týká dat.
Zdar Max
Měl jsem sen ... :(
Martin Tůma avatar 14.11. 15:55 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

Bavíme se tady o standardním jednouživatelském linuxovém desktopu, což je explicitně zmíněno v tom příspěvku, protože celá ta diskuze je o praktické proveditelnosti útoků V DANÉM PROSTŘEDÍ. Takže vytahovat tady Windows a "rodiče a děti" je stejně mimo, jako kdyby někdo k původnímu "JavaScriptovému" příspěvku začal psát, že "v cloudu je to ale obrovský problém" (ano je, ale o tom ta diskuze není...).

Každý má právo na můj názor!
Max avatar 14.11. 16:44 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Já tedy nevím, ale já mám na Linuxovém PC také víc účtů a běžně jsem dřív sdílel PC se spolubydlícíma.
Dále bych chtěl podotknout, že nejde jen o uživatelské účty. Na mém PC (a předpokládám, že i na jiných) běží i pár služeb (testovací instance apache, nginx, nodejs apod.), takže pokud někdy bude nějaká služba děravá (ať už vlivem mé hlouposti, nebo chyby v programu), tak opět, dotkne se to dat jen v rámci té dané služby a mých osobních dat se to nedotkne (za předpokladu, že nebudu mít děravý i kernel pro lokální exploit na roota). Argument, že mám v PC jeden user účet, je tedy tak jako tak mimo.
Zdar Max
Měl jsem sen ... :(
Martin Tůma avatar 14.11. 17:04 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

To je furt dokola. Když z výrazu "jednouživatelský desktop" vynechám "jednouživatelský" a "desktop", dostanu multiuživatelský server a tam to problém je, to už ale víme...

I co se týče služeb, tak z hlediska Meltdown/Spectre útoků (o kterých celá tato diskuze je), je podstatné pouze to, zdali se spouští nějaký neautorizovaný kód. A to se v případě, že neprovozuješ hosting/cloud nespouští.

Každý má právo na můj názor!
Max avatar 14.11. 17:32 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Takže ty máš v /etc/passwd dva záznamy, jeden root a jeden user a nic dalšího. Ok, tak to budeš jeden z mála a v takovém případě se tady bavíme jen o tobě. Super argumentace.
Zdar Max
Měl jsem sen ... :(
Martin Tůma avatar 14.11. 17:41 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Uživatelských účtů (pro služby) mám samozřejmě na svém desktopu mraky, ale data, "co by stála za hřích" mám jenom v tom svém. Stejně jako většina lidí. Možná by si se měl podívat na to notoricky známé XKCD, co tady už padlo. A pak taky samozřejmě občas zajít někam mezi lidi, co nejsou správci serverů...
Každý má právo na můj názor!
Max avatar 14.11. 18:16 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Já jen reagoval na tvé tvrzení, že pracovat pod uživatelem je z hlediska bezpečnosti dat stejné jako pracovat pod rootem. Příklad z Windows, kde se víc řeší bezpečnost práce uživatele, ti nevoněla. Příklad vývojáře na Linuxu ti také nevoní, protože spouštět si testovací věci pod různými uživateli už bereš jako multiuživatelský desktop (nebo do toho ty služby z mně neznámého důvodu nepočítáš).
Ok, můžeme to zakončit tak, že se neshodneme a klidně si pracuj pod rootem a všechno si pod rootem spouštěj.
Zdar Max
Měl jsem sen ... :(
Martin Tůma avatar 14.11. 18:41 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

"Nevoněl" mi především ten tvůj přístup useknout ten výrok před tou klíčovou informací o jednouživatelském systému. To, že čím víc se posunuješ k multiuživatelskému využití, tím víc najdeš případů, kde nějaký rozdíl je, tu nikdo nerozporuje.

Každý má právo na můj názor!
14.11. 18:59 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Zajímavé je, že tady horlivě debatujete ve vlákně o jedno- a mnohouživatelskosti systému, ale vlákno týkající se zneužitelnosti těch procesorových chyb javascriptem jste nějak odignoroval...
Quando omni flunkus moritati
Martin Tůma avatar 14.11. 19:35 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

Žádný vlákno, který by přinášelo nějaký relevantní informace tady nevidím... (A ne, ten fragment kódu z roku 2018 opravdu relevantní informace není).

Jenom aby bylo jasno, já netvrdím, že v prohlížečích aktuálně žádný reálný problém není. Jenom se snažím dobrat k tomu, jaký je skutečný stav věcí, tzn. čeho dnes v běžných podmínkách opravdu lze pomocí JS a Spectre/Meltdown zranitelností dosáhnout. V obchodu se strachem jsem totiž dělal dost dlouho na to, aby mně nějaký třísekundový video na Youtube přesvědčilo o závažnosti situace...

Každý má právo na můj názor!
14.11. 19:49 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Aha, přístup "odmítám vaši realitu a nahrazuji ji svou vlastní"... dobrá, za mě už nic.
Quando omni flunkus moritati
Max avatar 14.11. 21:37 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Já napíšu, že Spectre a Meltdown je v aktuálních verzích prohlížečů pořešený pomocí workaroundu a ty o těch obstarožních zranitelnost pořád mluvíš dokola. Já uvedl jednak link, jak se daly využívat zranitelnosti tehdy se Spetre a Meltdown a pak jsem dodal i link na využití aktuální zranitelnosti RIDL. Takže ne, fakt se tu nebavíme konkrétně o Spectre a Meltdown. Bavíme se tady o celé řadě zranitelností, jejich řešení a aktuálnímu stavu.
Přístup typu : "Jo, je to chyba, ale nevím, jak se dá zneužít, tak to nemá cenu řešit." je opravdu geniální. Jedna věc je tvůj osobní přístup, ok, ale druhá věc je to obhajovat veřejně v diskusích a ještě se za to prát. Je to úplně stejný přístup jako těch lidí, co v diskusích vykřikují, jak je super zakazovat updaty ve windows, protože nikdy oni osobně neměli problém s viry a aktualizace stejně jen zpomalují PC.
Zdar Max
Měl jsem sen ... :(
Martin Tůma avatar 14.11. 23:45 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

Však já se taky nebavím pouze o originálních Spectre a Meltdown zranitelnostech ale nazývám tak celou tu rodinu zranitelností založených na problémech se spekulativním vykonáváním kódu. Ještě jsem neviděl, že by někdo vypisoval vždy všechny ty zranitelnosti jednotlivě, protože z popisu: "Spectre/Meltdown/ZombieLand/RIDL/Fallout..." by se každej brzo zbláznil...

Problém tvrzení o tom workaroundu s časovačema je, že to vůbec nevystihuje současný stav věcí. Viz například pěkné shrnutí na blogu V8 nebo podrobněji viz git Chromia. Problém toho linku o RIDLu pak zase je, že v jejich repozitáři s PoC není aktuálně žádný JS kód... Jediný co jsem s JS našel je to video na hlavní stránce. A to je prostě málo.

A konečně k tomu přístupu. Nikdo netvrdí: "Jo, je to chyba, ale nevím, jak se dá zneužít, tak to nemá cenu řešit.", jak se mi snažíš podsunout. Ten původní dotaz zněl a stále zní: "Jaké jsou reálné možnosti zneužití (stojí to za snížení výkonu)?". Protože jestliže "in the wild" aktuálně nejsou (a nikdy nebyly) pozorovány žádné reálné JS útoky na tyto zranitelnosti, je někde zcela jistě nějaký "problém".

Každý má právo na můj názor!
Max avatar 14.11. 23:49 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Ok, tak tu hlášku poupravíme na : "Je to chyba, ale neznám žádné útoky na tuto chybu, tak to nemá cenu řešit."
Zdar Max
Měl jsem sen ... :(
Martin Tůma avatar 15.11. 00:04 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Stále ta samá demagogie. To je opravdu tak těžké pochopit, že existují lidé, kterým na rozdíl od tebe pro posouzení závažnosti CVE nestačí, že to CVE má cool název a vlastní webovou stránku?
Každý má právo na můj názor!
Max avatar 15.11. 08:08 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Jediný demagog jsi tady ty. Popis té chyby a příklad zranitelnosti je myslím jasný. To, že ty, aby jsi tu chybu akceptoval, vyžaduješ example kód, který útočí na něco konkrétního, je čistě jen tvůj problém.
Zdar Max
Měl jsem sen ... :(
Martin Tůma avatar 15.11. 10:13 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

Stále nechápu, odkud bereš ten nesmysl, že tu chybu neakceptuju. Já rozhodně nezpochybňuju, že pokud máš přístup k "železu", tak je ta chyba (a tím myslím libovolné z těch desítek CVE) zneužitelná. Mě ale zajímá i to, zdali je (s aktuálními prohlížeči) zneužitelná i pomocí JavaScriptu. Tzn. zdali se týká i běžného desktopu a je nutné kvůli ní obětovat nezanedbatelnou část výkonu.

Každý má právo na můj názor!
Max avatar 15.11. 11:10 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Já nepíšu, že neakceptuješ, že jde o chybu. Umíš číst? Já píšu, že jen neakceptuješ možnost její zneužitelnosti, protože nemáš nějaký example kód, který ti někdo naservíruje až pod nos a nedokáže ti to.
Dále i ta poznámka s prohlížeči je mimo. Opět, to že víme, nebo nevíme, že aktuální prohlížeč má problém, neříká nic o tom, že ten problém nebude. Dále už jsem milionkrát psal, že i v normálním desktop PC běží i jiné věci (třeba sítové, např. avahi), které v kombinaci s jejich zranitelností a touto získá přístup ke tvým datům. Ty asi budeš argumentovat dalším úžasným proslovem jako tím, že tobě v PC avahi neběží, což nám ale zase nic neřekne.

Víme o chybě, víme, že je ještě jednodušeji zneužitelná, než předchozí Spectre a Meltdown a víme, že jakékoli chyby by se měly plátat, protože nikdo nevidí do budoucnosti, co bude za měsíc, za rok.

Jako sorry, prevence je základ a pokud ty chceš mít nezaplátovaný PC, tak si ho měj, ale nechlub se s tím v diskusích a nesnaž se to navíc obhajovat.
Zdar Max
Měl jsem sen ... :(
Martin Tůma avatar 15.11. 13:48 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Já píšu, že jen neakceptuješ možnost její zneužitelnosti, protože nemáš nějaký example kód, který ti někdo naservíruje až pod nos a nedokáže ti to.

Neakceptuju reálnou možnost zneužitelnosti, pokud neexistují důkazy, že taková možnost existuje (nelze prostě paušálně tvrdit, že něco určitě půjde zneužít, s takovým přístupem by se nedal počítač používat vůbec). A z toho co jsem o RIDL dohledal to nevypadá, že by existovala. Jejich POC útok přes JavaScript totiž vypadá tak, že si "pro jednoduchost" upraví JS jádro aby vracelo přesný čas a odkáží se na dříve publikované metody, jak lze takový dostatečně přesný čas v JS získat. Jenomže tyto metody (např. SharedArrayBuffers) už jsou taky v aktuálních JS enginech nefunkční. Navíc s v prvním příspěvku zmíňenou site-isolation nepočítají zdá se vůbec. Samozřejmě je tu riziko, že se objeví nějaká další metoda, ale reálný stav věcí (neexistence reálných útoků) ukazuje, že míra toho rizika nebude příliš vysoká.

Jako sorry, prevence je základ a pokud ty chceš mít nezaplátovaný PC, tak si ho měj, ale nechlub se s tím v diskusích a nesnaž se to navíc obhajovat.

Promiň, ale tvá kvalifikace v oblasti bezpečnosti očividně opravdu není na takové úrovni, aby si mohl někomu určovat co může a co nemůže říkat/dělat.

Každý má právo na můj názor!
Max avatar 15.11. 14:02 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Jasně, radit lidem, aby ignorovali prevenci, to je opravdu hodné bezpečnostního experta. Jsem proti tobě opravdu lama. Máš ve všem pravdu. Přijmi mou pokornou omluvu.
Zdar Max
Měl jsem sen ... :(
Martin Tůma avatar 15.11. 15:19 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

Nikdo tady lidem neradí, aby ignorovali prevenci. Jediné co tady "radím" je, že je vhodné zvážit rizika a dopady a podle toho se rozhodnout. Přijatelná míra rizika i přijatelné dopady a výsledný "poměr" je pro každého jiný. Pro korporátního ajťáka je samozřejmě nejjednodušší obětovat jakýkoliv výkon i za infinitezimální snížení rizika, protože on na tom nesnesitelně pomalém počítači pracovat nebude, zatímco případný bezpečnostní problém dopadne na jeho hlavu. To ale neznamená, že je tento přístup vhodný pro každého...

Každý má právo na můj názor!
15.11. 15:42 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
To ale neznamená, že je tento přístup vhodný pro každého...
Samozřejmě, protože "každý" za rozhodnutí, že riziko je malé, málokdy nese následky. Když někomu vyberou účet kvůli ukradenému heslu, je to odpovědnost banky, když počítač někomu zneužijí k útoku, náklady na řešení nese oběť...

Kvůli lidem, jako jste vy, jednou legislativci zavedou takové zákony pro IT, že se nebudeme stačit divit.
Quando omni flunkus moritati
xxx avatar 15.11. 16:45 xxx | skóre: 42 | blog: Na Kafíčko
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
No to mas pravdu. Protoze jestli legislativci zavedou zakony podle tebe nebo Maxe, tak si domu budes muset poridit alespon 64 jadro, aby jsi si vubec precet Abclinuxu. :-)
Please rise for the Futurama theme song.
Max avatar 17.11. 00:12 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Zaprvé argumentuješ nereálným extrémem. A zadruhé, já nemůžu za to, co Intel udělal a dělá.
Zdar Max
Měl jsem sen ... :(
Martin Tůma avatar 15.11. 19:56 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Jako že oběti mají být zodpovědné za to, že na ně byl spáchán trestný čin? Holka byla příliš vyzývavě oblečená, proto si může za znásilnění sama?! To jsou zákony podle gusta Jiřího Bourka?!!
Každý má právo na můj názor!
15.11. 20:06 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Vhodnější příměr: pokud někdo nechá v bytě na stole ležet nabitou pistoli, odejde a nezamkne, je trestně odpovědný, když ji někdo sebere a použije
Quando omni flunkus moritati
15.11. 10:54 prqek | blog: prqek
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Myslím, že to, o co mu jde, je něco zcela jiného. Ptal bych se spíš takle: dá se ta chyba (kterákoli z nich) znežít snadno? tj. kdekdo si na webu najde kus kódu, který dostane ke mě do počítače (třeba pomocí toho javascriptu) a začnou se mu na obrazovce objevovat moje šifrovací klíče. Nebo to je spíš něco ve stylu, pokud je splněna spousta dalších podmínek, tak se útočník může dostat ke kousku paměti, ke které by jinak neměl přístup a ten kousek může obsahovat moje šifrovací klíče?

Na mě to zatím působilo, že se to blíží té druhé možnosti. Za to mi snížení výkonu nestojí. Pokud ano, tak bych asi měl taky tendenci bydlet v dobře zásobeném protiatomovém krytu hlídaném soukromou armádou.

Max avatar 15.11. 11:12 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Ale přesně o tom se celou dobu bavíme. Pokud chcete mít nezaplátovaný PC, protože doteď vám nikdo před nos nenaservíroval exploit, který tu chybu zneužívá, tak si ho mějte, ale neventilujte to na veřejnosti a nesnažte se to navíc obhajovat v diskusích.
Zdar Max
Měl jsem sen ... :(
15.11. 12:06 prqek | blog: prqek
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Nemusí mi ho nikdo servírovat pod nos. Jde o to, jak moc velká je pravděpodobnost, že tu chybu vůči někdo zneužije. Na mě popis těch chyb zatím působí tak (a je dost možné se pletu), že je pravděpodbnější, že se ke mě domů někdo vloupe a namontuje mi do klávesnice keylogger, než to, že mi nědko ukradne pomocí těch chyb šifrovací klíče. Proti tomu prvnímu útoku jsem taky chráněn jen do určité míry. Neaplikovat záplaty vůči těm chybám tudíž vidím podobně jako nezavírat počítač do trezoru.

Život je obecně plný rizik, jestli a jak se před nimi chránit, je vždy o tom, jestli mi negativa vyplívající z té ochrany za to stojí v kontextu pravděpodobnosti a případných následků. Často mám pocit, někteří lidé na tohle u počítačů zapomínají a aplikují opatření, které by v reálné životě opravdu připomínali život v tom protiatomovém krytu.
Max avatar 15.11. 13:56 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Když to bereš tak, tak podobnou pravděpodobnost budeš mít v případě neinstalování aktualizací také.
Zdar Max
Měl jsem sen ... :(
15.11. 14:21 prqek | blog: prqek
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Za cenu nižšího výkonu ...
Max avatar 15.11. 14:44 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Samozřejmě, ale tak to bylo vždy (ale asi né v takovém rozsahu, ale to se nedá nic dělat). Každopádně neradím nic, co sám nedělám.
Zdar Max
Měl jsem sen ... :(
15.11. 15:37 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Jednou za občas se tady nebo v doporučených videích na YT objeví přednáška z nějaké bezpečnostní konference. Ve většině případů se člověk nestačí divit, co dokážou lidi vymyslet a nakombinovat, aby nakonec zneužili nějakou chybu a dostali se k něčemu, k čemu se dostat nemají.

Je možné, že Tůma a prqek jsou odborníci na tak vysoké úrovni, že dokážou taková rizika vyhodnotit, ale na 99% jsou to oba diletanti, kteří by neměli mít administrátorský přístup ani k vlastnímu počítači.
Quando omni flunkus moritati
xxx avatar 15.11. 16:53 xxx | skóre: 42 | blog: Na Kafíčko
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Ja ti teda nevim, ale jediny co mr. Tuma po Maxovi chtel, bylo zhodnoceni hrozby. Coz bych tak nejak ocekaval, ze mezi bezpecnostnimi experty, mezi ktere si i s Maxem asi radis, je naprosto bezna vec. Taky si myslim, ze takove zhodnoceni, je zakladnim predpokladem pro rozhodnuti o nejakych opatrenich k potlaceni one hrozby.

Bohuzel expert Max se zmohl jen na konstatovani, ze tam ta hrozba je, a ze je urcite velka.
Please rise for the Futurama theme song.
15.11. 19:45 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Neřadím a jestli mezi všemi návštěvníky tohohle webu jsou víc než dva lidi, kteří jsou skutečně schopni něco takového posoudit správně, tak bych se moc divil. Právě proto se nepokouším řešit, jak velké riziko představuje ta či ona chyba.
Quando omni flunkus moritati
16.11. 13:42 prqek | blog: prqek
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Čeho se bojíš víc, co ti přijde pravděpodobnější a hlavně proč? Že ti někdo namontuje do klávesnice keylogger nebo ti nějak uškodí v důsledku diskutovaných cpu chyb?

Celá ta diskuze je zhodnocení míry rizika a za jakou cenu se jím zabývat. Žádné jasné zhodnocení se tu neobjevilo, jen odkazy na proof of concept. POC by se dal najiti i k tomu keyloggeru a stejně počítač do trezoru nezamykám. Dle Maxovi logiky bych měl. Deláš to ty?
18.11. 11:31 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Já vim, že ten keylogger máte jako univerzální výmluvu, abyste nemusel nic dělat, ale to je všechno, co máte: výmluvu. Já vám napovím, v čem je rozdíl. Když vám někdo bude chtít nainstalovat keylogger do klávesnice, tak se vám musí vloupat do baráku, čímž se přinejmenším vystavuje riziku, že ho někdo chytí, a pokud se mu to náhodou povede, tak má keylogger u jednoho člověka, který možná používá internetové bankovnictví a možná má i dost peněz na to, aby se celá tahle sranda vyplatila.

Pokud někdo vymyslí, jak zneužít chybu v běžně používaném hardware a software, může současně, z bezpečné vzdálenosti a prakticky bez rizika odhalení zaútočit na tisíce lidí.
Quando omni flunkus moritati
Martin Tůma avatar 18.11. 12:24 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

Univerzální výmluvu, aby nemuseli nic dělat tady mají především "experti" Max Devaine a Jiří Bourek. A tou výmluvou je - "nerozomíme tomu, tak radši všechno zakážem (i za cenu velkého poklesu výkonu)". Protože zjišťovat přesné informace o bezpečnostních problémech samozřejmě je pracné (ale ne nemožné, jak se nám tu "experti" snaží namluvit).

Osobně bych ani s tímto přístupem "expertů" neměl zas až takový problém, kdyby tito "experti", kteří nejsou schopni provést ani tak základní krok jako analýzu dopadů těch chyb, neměli tu drzost tady ostatní, kteří mají k problematice poněkud serióznější přístup, častovat výroky typu "by neměli mít administrátorský přístup ani k vlastnímu počítači" nebo "nechlub se s tím v diskusích a nesnaž se to navíc obhajovat"...

Každý má právo na můj názor!
Max avatar 18.11. 12:58 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Takže kromě zlehčování dopadů bezpečnostních chyb jsi se i pasoval na lháře. Good job ;-).
Zdar Max
Měl jsem sen ... :(
Martin Tůma avatar 18.11. 13:30 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

Analýza reálné zneužitelnosti bezpečnostních chyb není zlehčování dopadů těch chyb.

Jak se člověk citováním výroků druhých pasuje na lháře mi trochu uniká, ale možná to bude tím, že ten tůj příspěvek je velmi slabý nejenom argumentačně, ale i jako útok ad hominem...

Každý má právo na můj názor!
18.11. 14:41 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
No, on "expert" Tůma tady ze sebe dělá kdovíco, ale určitě ten základní krok a analýzu sám neprovedl také. A ne, takovým krokem opravdu není podívat se na internet, jestli půjde stáhnout javascript, který by tu chybu zneužil.
Quando omni flunkus moritati
Martin Tůma avatar 18.11. 14:55 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Analýzu proveditelnosti zneužití RIDLu v JS jsem provedl a výsledek jsem zde popsal (a nikdo jej zde ani nerezoporoval, natož vyvrátil). Alespoň číst co sem lidi píšou by si mohl, když už je potřebuješ napadat tak trapnejma výrokama, jako že by "by neměli mít administrátorský přístup ani k vlastnímu počítači"...
Každý má právo na můj názor!
Martin Tůma avatar 18.11. 15:16 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

Abych předešel další zbytečné diskuzi - neprovedl jsem samozřejmě analýzu všech dosud zveřejněných Spectre/Meltdown chyb na zneužití z JS (stav 11/2019), ale pouze té, kterou "expert" Max Devaine označil jako: "víme, že je ještě jednodušeji zneužitelná, než předchozí Spectre a Meltdown". Což dle mé analýzy rozhodně není.

To, zda-li je někde dostupná aktuální analýza zneužitelnosti z JS (a samozřejmě případně příslušné POC) k celé této rodině bylo právě předmětem dotazu, který celou tuto "expertní diskuzi" rozpoutal. Bohužel místo nějakých argumentů zde padají akorát primitivní urážky od pseudoexpertů Maxe Devainea a Jiřího Bourka...

Každý má právo na můj názor!
Max avatar 18.11. 16:55 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Jenomže tady se nebavíme o zranitelnosti v js, ale o zranitelnosti té chyby jako takové z celkového hlediska. Nechápu, proč se tu pořád oháníš jen tím js v rámci prohlížeče.
Zdar Max
Měl jsem sen ... :(
Martin Tůma avatar 18.11. 17:11 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
?!! Celý tohle nekonečný vlákno je a od začátku bylo o zneužitelnosti těch chyb v JavaScriptu!
Každý má právo na můj názor!
Max avatar 18.11. 17:32 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Ne, to opravdu není. Když argumentuji využitím chyby v jiných službách běžících na PC a jako příklad uvedu běžně spuštěný avahy daemon, tak se vážně nebavím o webovém prohlížeči.
Ohledně webového prohlížeče a js tu byly zmíněny dvě věci :
1) je použit workaround, který by měl minimalizovat riziko zneužitelnosti té chyby
2) to, že nyní existuje nějaký workaround neznamená, že to tak bude platit na vždy (= workaround není řešení).

To, že ty se pořád slepě točíš jen kolem js, je jen tvůj omezený pohled na věc. Celou dobu tady říkám, že stačí chyba v nějaké app (třeba v tom avahi), která umožní lokálně spustit nějaký kód, a díky zranitelnostem kolem HT máš po datech, i když ta služba běží pod jiným userem.
Zdar Max
Měl jsem sen ... :(
Martin Tůma avatar 18.11. 19:01 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

Veškeré "opravy" Spectre/Meltdown chyb jsou "workaroundy" (viz změny v kernelu). Řešení, které není workaround je pouze správně fungující CPU. A již poněkolikáté v této diskuzi - argumentovat tím, že se může v budoucnu objevit další chyba (možnost jak v JS získat přesný časovač) je nesmysl, toto se dá říct o jakémkoliv SW a pokuď by si tomu chtěl zabránit, můžeš tak akorát zamknout (vypnutej) počítač do trezoru...

Co se týče té možnosti kaskádování chyb tak samozřejmě pro spoustu nasazení to může být dostatečné ospravedlnění snížení výkonu. Pro spoustu nasazení to ale nepředstavuje takové riziko, aby se vyplatilo kvůli tomu o ten výkon přijít. To je ale na rozhodnutí každého jednotlivého uživatele. Ty ze své pozice, bez znalosti toho nasazení, o tom ale těžko můžeš kvalifikovaně rozhodovat. A už vůbec ne stylem: "nesnaž se to ani obhajovat".

Každý má právo na můj názor!
Max avatar 18.11. 19:55 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Nechávat si v PC lokální root exploit je prostě úlet. Říkej si co chceš, ale je to hovadina jak zvon. A ničím to neospravedlníš.
A pokud jde o web prohlížeče, tak chyby ohledně vzdáleného spuštění kódu (připomínám, že se nebavíme o js) se tu a tam jednou za čas objeví :
Firefox
Chrome

Takže soráč, ale kecy o tom, jak neuznáváš, že se v budoucnu může objevit nějaká chyba, je v tomto kontextu úplně mimo, protože se objevují celkem pravidelně.
Zdar Max
Měl jsem sen ... :(
Martin Tůma avatar 18.11. 23:00 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Nechávat si v PC lokální root exploit je prostě úlet. Říkej si co chceš, ale je to hovadina jak zvon. A ničím to neospravedlníš. A pokud jde o web prohlížeče, tak chyby ohledně vzdáleného spuštění kódu (připomínám, že se nebavíme o js) se tu a tam jednou za čas objeví

Že rozdíl mezi rootem a uživatelem ve spoustě případů není prakticky podstatný už jsem tady ukazoval, ale pro pořádek to zopakuji. Pokud jsou jediná důležitá data dostupná v tom uživatelském účtu, kde je i výrazně větší exponovanost pro vzdálené útoky například právě skrze prohlížeč, není riziko root exploitu prostě nikterak zásadní záležitost. Já si třeba zase neospravedlním na svém desktopu pro své použití výrazné snížení výkonu za cenu zvýšeného rizika root exploitu. Třeba proto, že běžně mi tady běží jediný proces pod jiným uživatelem než mým uživatelským účtem nebo rootem.

Takže soráč, ale kecy o tom, jak neuznáváš, že se v budoucnu může objevit nějaká chyba, je v tomto kontextu úplně mimo, protože se objevují celkem pravidelně.

Nikdo samozřejmě netvrdí, že se v budoucnu nemůže objevit/neobjeví nějaká bezpečnostní chyba. Ale to je předpokládám jenom součást tvého "expertního trollingu".

Každý má právo na můj názor!
Max avatar 19.11. 08:16 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Ty si tady budeš obhajovat lokální exploit a mně ironizovat "expertem" a říkat, že "trollim".
Ok, dál už se asi neposuneme.
Zdar Max
Měl jsem sen ... :(
Martin Tůma avatar 19.11. 11:38 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

"Expertem" tě tady lidé nazývají proto, že nejenom nejsi schopný, ale ani vůbec ochotný provést tak základní věc jako je zhodnocení hrozby a její porovnání s dopady případných preventivních opatření.

Trollíš proto, že tvrzení, které říká, že tu vždy budou nějaké bezpečnostní chyby zcela otočíš a snažíš se oponentům podsunout, že tvrdí: "neuznáváš, že se v budoucnu může objevit nějaká chyba".

Každý má právo na můj názor!
19.11. 09:17 prqek | blog: prqek
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Nechávat si v PC lokální root exploit je prostě úlet.
A co třeba root přihlášený v grafickém emulátoru terminálu, který běží pod obyčejným uživatelem? Nebo tohle pro práci pod rootem nepoužíváš?
18.11. 17:45 prqek | blog: prqek
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Ono se to da jednoduše použít plošnému automatizovanemu útoku? To stačilo říct rovnou a mohli jsme si tuhle diskuzi ušetřit.
19.11. 09:24 prqek | blog: prqek
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Já vim, že ten keylogger máte jako univerzální výmluvu, abyste nemusel nic dělat,
Univerzální? Od začátku je to jen příklad, který má ilustrovat vztah mezi mírou rizika a cenou za jeho eliminaci. Vtip je v tom, že obvykle je tou cenou jen installace patche. Což je prakticky zanedbatelná cena. V tomhle případě je ale ta cena mnohem vyšší. Jen pro jistotu doplňuju, že pořád uvažuju v kontextu jendouživatelského deskotpu. A mimochodem, když se ti nelíbí příklad s keyloggerem, co tohle?
13.11. 13:27 Michal
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Jeste par desitek takovych a uz to pomalu prestane byt legrace :-p
Max avatar 13.11. 13:56 Max | skóre: 67 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Pro dost lidí to legrace přestala být před rokem. Od května letošního roku to už muselo nasrat všechny.
Zdar Max
Měl jsem sen ... :(
13.11. 13:30 Andrej | skóre: 47 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu

TL;DR: Všude přidat do příkazové řádky kernelu tsx=on a dál už nad takovou ptákovinou nepřemýšlet. Sorry jako, máme rok 2019 a transakční paměť má prostě fungovat.

Tohle je ale fakt styl "já bych všechny ty počítače a internety zakázala":

Although there are mitigations for all known security
vulnerabilities, TSX has been known to be an accelerator for
several previous speculation-related CVEs, and so there may be
unknown security risks associated with leaving it enabled.
ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
13.11. 19:03 kvr
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Jakkoli bych nechtěl ty bezpečnostní problémy bagatelizovat, tak reálně vzato u systémů běžících na bare metal dedikovaných na jednu úlohu (databáze, aplikační server, ...) je ten dopad zanedbatelný. Všechny work-aroundy můžou zůstat vypnuté, bo neformálně vzato je systém jednouživatelský. A vzdálené zneužití u těchto chyb je už hodně v oblasti teorie. U klasického desktopu je riziko vzdálený kód, který se běžné spouští na lokálním CPU (javascript), tam je otázka, zda by šlo zapnout work-arounds na základě aplikace.

Ale v této chvíli je aplikované řešení těžký kanón na vrabce, který často řeší neexistující problém. Holt si budou muset lidi vybrat, zda jejich use-case akceptuje riziko nebo potřebují bezpečnost za cenu zpomalení. Obojí zjevně úplně nepůjde, spekulace jsou poměrně klíčovým prvkem ke zvedání výkonu (a ne, ani AMD tomu neušlo, jen jich bylo míň a nejspíš má pro všechny softwarové záplaty, pochopitelně snižující výkon)...
13.11. 20:26 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
a ne, ani AMD tomu neušlo, jen jich bylo míň a nejspíš má pro všechny softwarové záplaty, pochopitelně snižující výkon

AMD Ryzen 3900X:

itlb_multihit:Not affected
l1tf:Not affected
mds:Not affected
meltdown:Not affected
spec_store_bypass:Mitigation: Speculative Store Bypass disabled via prctl and seccomp
spectre_v1:Mitigation: usercopy/swapgs barriers and __user pointer sanitization
spectre_v2:Mitigation: Full AMD retpoline, IBPB: conditional, STIBP: conditional, RSB filling
tsx_async_abort:Not affected

starší AMD Athlon 5050e (tam je ještě jádro bez poslední sady patchů, takže neukazuje TAA a iTLB multihit, ale u obou by bylo "Not affected"):

l1tf:Not affected
mds:Not affected
meltdown:Not affected
spec_store_bypass:Not affected
spectre_v1:Mitigation: usercopy/swapgs barriers and __user pointer sanitization
spectre_v2:Mitigation: Full generic retpoline, STIBP: disabled, RSB filling

Intel Core i7-6600U:

itlb_multihit:KVM: Mitigation: Split huge pages
l1tf:Mitigation: PTE Inversion; VMX: conditional cache flushes, SMT disabled
mds:Mitigation: Clear CPU buffers; SMT disabled
meltdown:Mitigation: PTI
spec_store_bypass:Mitigation: Speculative Store Bypass disabled via prctl and seccomp
spectre_v1:Mitigation: usercopy/swapgs barriers and __user pointer sanitization
spectre_v2:Mitigation: Full generic retpoline, IBPB: conditional, IBRS_FW, RSB filling
tsx_async_abort:Mitigation: Clear CPU buffers; SMT disabled
13.11. 23:24 Ovocucníček
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Nedávno byl na Phoronixu test, podle kterýho mitigace mají na AMD asi poloviční postih nebo ještě menší proti tomu, co se děje s Intelem. A to bylo před tou poslední várkou.

Jinak ale souhlasím, že na single user systému to není až taková katastrofa a třeba doma taky mám jeden dva Intely a holt se na to snažím nemyslet. Většinou říkám, že to chce brát jako součást reality a ty výkonnostní postihy taky brát jako něco normálního a součást obvyklého zvyšování nároků nového softwaru a bezpečnostních aktualizací. Ale hlavní stroj mám teď Ryzena, takže to se mi to kecá :)

Kdybych měl server, tak mám asi větší pifku, no... ale jak se dívám, tak firmy pořád v neuvšřitelný míře kupujou Xeony (96 % trhu teď v Q3 209), takže evidentně manažeři co o tom orzhodujou na to serou, akorát prý kvůli tomu nakupujou silnější CPU a víc serverů, aby překonali tu ztrátu výkonu, takže Intel má paradoxně ještě větší žně, LOL
13.11. 23:28 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
On je rozdil cekat na server tyden, nebo mesic ;-) AMD to moc nestiha vykryvat, pokud vim, ale hlad by po jejich CPU byl.
--- vpsFree.cz --- Virtuální servery svobodně
13.11. 23:30 snajpa | skóre: 20 | blog: snajpuv_blocek | Brno
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Dalsi podstatny faktor je, ze ne zdaleka vsichni major server vendori shippuji AMD, spousta z nich se na to teprve chysta. Vzhledem k predchozim zkusenostem, ze kdyz ma AMD neco zajimave, tak to nestiha dodavat, je vcelku chapu.

No a v neposledni rade - vubec neni jednoduche se s AMD dat do kontaktu a neco s nimi zacit resit, maji kapacitu se bavit jen s temi opravdu nejvetsimi - takze napr. k cemu je, ze maji skvela embedded CPU, kdyz se k nim neda dostat :)
--- vpsFree.cz --- Virtuální servery svobodně
14.11. 06:27 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Konkrétně u 3900X (nejvýkonnější model z desktopové řady) měla Alza od začátku července do začátku října trvale "dostupnost na dotaz", což podle jejich odpovědí v diskusi znamenalo něco mezi "objednejte si ho a my vám řekneme, kdy asi tak přijdete na řadu" a "objednejte si ho a my se vám ozveme, až bude". Teď už je to ale lepší.
Ovoce avatar 14.11. 21:00 Ovoce | skóre: 14 | blog: Vyplizlo_ze_zivota
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Jo, po těch Ryzen 3900X byl fakt relativně hlad, ale už se to myslím srovnalo. Teď přijde 3950X, což je totéž ale ještě drsnější (16 jader v normálním malým socketu), tak uvidíme, jak to bude tam, taky by na ně asi mohla výt fronta, ale cena už je brutálnější, tak třeba nebude zájem takovej.

Ale v těch serverech mají docela malý tržby, letos to bylo při tom 3% tržním zastoupení tak 150-200 mega $ za kvartál, což je proti 5 miliardám Intelu úplný prd. Takže myslím, že tady to není, že nestíhají dodávat, jenom prostě trh je tak konzervativní. Jestli něco brzdí tu dostupnost, tak bych řekl že hlavně až v druhý fázi ta výroba a dodávky celých serverů. U CPU je asi to, že třeab v první generaci se reálná dostupnost objevila až po x měsících a to může být možná i teď, ale to je spíš o tom, že je to paper launch, než o tom, že by potom po rozjetí výroby kapacita nestačila.
14.11. 13:44 Andrej | skóre: 47 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
  • běžících na bare metal
  • dedikovaných na jednu úlohu

Tohle^^^ ale v praxi prostě nejde dohromady. Leda snad u firem s nekonečným rozpočtem na hardware i elektřinu (přepočteno na podíl informačních technologií na činnosti firmy), které sice možná někde existují, ale nikdo o nich zatím neslyšel. ;-)

Jinak zcela souhlasím, že většina těch "procesorových" hrozeb je v praxi téměř "neaplikovatelná". Systém vůbec nemusí být jednoúlohový. Stačí, aby byla přiměřená kontrola nad tím, co na systému běží (tedy aby to nebyl "cloudový" stroj, nýbrž interní stroj, který vyžaduje a je ochoten spouštět pouze kontejnery a binárky zkompilované interně a pečlivě auditované). Pak najednou většina těch útoků, které potřebují k přečtení cizích dat velmi specifické podmínky (obskurní kus kódu, velké zatížení procesoru, relativně málo souběžně fungujících procesů atd.), v podstatě přestane existovat, protože je prostě není jak provést, kromě nějakého insider threat spiknutí.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
14.11. 14:59 MadCatX | skóre: 24 | blog: dev_urandom
Rozbalit Rozbalit vše Re: Další bezpečnostní chyby v procesorech od Intelu
Benchmarky TAA mitigace: https://www.phoronix.com/scan.php?page=article&item=zombieload-v2-taa&num=1

Když se k tomu přičte efekt JCC errata, jsou ti, co využívali TSX asi tak tam, kde byli před pěti lety.

Založit nové vláknoNahoru


ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.