Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
To je fajn. Připlácet si za výkon a pak mu ho někdo bez náhrady seškrtá.
Vítejte v reálném světě.
Já jsem v něm dlouho. Ale pokud si za něco zaplatím a pak to nesplnuje specifikace mám nárok na kompenzaci nebo odstoupení od smlouvy. Třeba když načapali automobilky tak se dávali slevy na auta,finanční kompenzace,odkoupení a výměny. Jsem zvědavý jak to dopadne s Intelem.
Co tady fabuluješ? Já jednou stál na chodníku, dostal jsem pokutu, po půl roce z toho chodníku udělali parkoviště. Mohl jsem se nějak dožadovat vrácení peněz za pokutu? Nemohl, koupil jsem si bloček na pokutu tak jak ležel běžel v ceně obvyklé v té době se všemi jeho dopady, výhodami i nevýhodami.
Trestní a obchodní právo jsou dvě různé věci.
Takzvana "Logika Crha" :D
Tak si tu specifikaci přečti a ukaž prstem kterou část nesplňuje. Nikdo (ani AMD) negarantuje výsledek žádného benchmarku.
Při veřejných a oficiálních prezentací ukazovali nárůst výkonu. Jelikož v tuto chvíli ho nesplňují ve spoustě aplikací. Dalo by se klasifikovat jako klamání zákazníka. V případě že o chybě věděli a věděli že náprava znamená snížení výkonu. Je to už čistý podvod za účelem obohacení. A jelikož už to věděli před vydáním Coffi bych se na takovou žalobou nepozastavil. Ještě něco? :)
Za prvé vždy musí být prokazatelný úmysl klamat (obohatit se), ne že se někdo cítí být oklamán.
Za druhé výkon poklesl všemu ve srovnávané skupině, takže starý vzorec s procenty možná stále platí (pochybuji, že tam měli nějakého in-order Atoma, kterého se to netýká).
Skutečný právní problém by byl, kdyby se na objevené útočné techniky vykvajzli a nechali procesor neošetřen, takže nemají na vybranou.
A právě kvůli tomu jsme označováni za hlupáky, když má člověk hi-end s nvme potvorou, aby ta kompilace/syntéza netrvala roky. Takže si člověk pořídí takovejhle stroj za skoro šestimístnou sumu, aby to pak patchnul a vlastně dopadl jako průměrnej kanclstroj. Testovat to rozhodně nebudu, ale nedivil bych se nehezkých výsledků.
Normalni clovek si NVMe nahodi na Windows 7 ktery se svym chovanim aktivne ze dne na den nemeni, sam takhle provozuju Ryzen a ThR, nechapu k cemu nedodelane Windows 10 a zapla sluzba Windows Update, nestabilni vykon, system bez kontroly uzivatele, problemy.
Taky že to tak mám, ale tomu železu by po stránce výkonu víc prospěly W10. Jenže takovej nedodělek mi na disk nikdy nepáchne.
Nerozumiem prečo práve kopírovanie. Veď tam hádam v kóde nie je čo predpovedať a vetviť. A kopírovanie už "100 rokov" používa DMA...
Tohle nema nic spolecneho s vetvenim... kazde cteni/zapis/kopirovani na disku = syscall. Kazdy syscall je pomalejsi kvuli oprave Meltdown. Navic HDD ma ~120 IOPS, zatimco SDD maji 10/statisice IOPS, logicky bude dopad daleko vetsi na SSD...
budem konkrétnejší ako kolega
DragonFly founder Matthew Dillon commented that system calls went from taking about 100ns to ~350ns.
https://www.phoronix.com/scan.php?page=article&item=dragonfly-bsd-meltdo...
Toto sa tyka vstup a vystupu zo syscallu
Ak kopirujete tak zavolate syscall a callbackom - co je v podsatte reverzny Sycall - doatene info o ukomceni, Medzi tym je prenos
A na SSD trva presenie dat menej ako na HDD
Tym padom predlzenie syscall a callabacku predlzi operaciu relativne ovela viac ako pri HDD
Zjavne bude predlzenie syscalalov vo Windows 10 vacsie ako vo Windows 7, To znamena, ze to bolo urobene obskurnejsie, ale tym rychlejie,ak by CPU nemali chyby, vo Windows 10
Nejde o prodloužení, ale mezi I/O API a kernelem se ve Windows 10 (a 8.x) těch syscallů dělá méně než ve Windows 7.
Pokud se syscallů dělá u Win10 méně, měly by být i méně postiženy. Tak to ale nevypadá.
Už někdo testoval dopad na Haswell, Ivy nebo Sandy bridge? Tyhle procesory jsou pořád hodně rozšířený, ale analýzu vlivu záplaty na tahle procesory jsem ještě nevidel.
Podla Intelu tieto CPU uz ani neexistuju. Iba v niektorych technologickych muzeach na planete mozno najst dokopy zopar exemplarov a podla Intelu-dementelu skor najdes zostavu s 8086-based CPU ako s Haswell, Ivy nebo Sandy bridge ...
Tohle bych o haswellu netvrdil
Na Haswell ano a nie je to very well, skor very bad..
January 12, 2018 / 1:40 AM / 3 days ago
Intel says patches can cause reboot problems in old chips
(Reuters) - Intel Corp on Thursday said that recently issued patches for flaws in its chips could cause computers using its older Broadwell and Haswell processors to reboot more often than normal and that Intel may need to issue updates to fix the buggy patches.
https://www.reuters.com/article/us-cyber-security-intel/intel-says-patch...
Můžete mi přeložit do češtiny, co znamená "reboot more often than normal" ? To si jako komp řekne že chce restartnout nebo prostě na férovku spadne ?
Spadne a spada dost casto.
Prvy raz som to videl z zneni
ntel has warned that the fix for its Meltdown and Spectre woes might have made PCs and servers less stable.
Chipzilla(prezyvka Intelu) has slipped out a statement to the effect that “We have received reports from a few customers of higher system reboots after applying firmware updates.” The problems have hit “Broadwell and Haswell CPUs for both client and data center.”
https://www.theregister.co.uk/2018/01/12/intel_warns_meltdown_spectre_fi...
Mam doma i7 z generace haswell a za poslední týden mi šel systém (64b w7) 2x neočekávaně do modré obrazovky (po nějaké patchi). Předtím si nepamatuji kdy se mi něco podobného naposled poštěstilo..
Dopad je ještě větší než u Skylake a novějších a nestabilita je také větší (viz. Rybka). Nicméně mně padá častěji i Skylake (IRQ LESS THAN EQUAL nebo ACCESS VIOLATION nebo prostě zátuh do černa - nejde ani HW reset), takže asi tak.
Nejde ani HW reset? Tak to už zasahujete težce mimo rámec používání, ne?
Jestli nad tím bdí ME, možné to je, nebo se to celé vzpamatuje až po hodně dlouhé době (interní watchdog).
ME jsem updatoval v listopadu, to jsem asi jedinej na světě s tak poslední verzí a nějak se se mnou nepočítá... nevim. Každopádně ten patch to "dorazil" (trošku to začalo haprovat po tom updatu ME plus poslední drivery Intel GPU plus fall creators update)... začíná platit, že dokud to funguje, neupdatovat.
Každopádně u Rybky někdo píše v diskuzi, že to někomu (jeho kámošovi) taky odstřelilo Skylake i5, čili tak.
Samozřejmě to sem píšu hlavně v naději, jestli se někdo ozve, že jeho Skylake má taky krámy.
Jo, a věřím, že kdybych detaktoval nataktovanou RAM na stock 2133, tak to přestane dělat - ale ani zkoušet to nebudu... (dala by se vymyslet úvaha, že ta oprava spočívá v nějakém zvýšení granulace interního času stejně jako workaround v prohlížečích a nějak se nepočítá s tím, že si "RAMka sáhne" - jiný HT vlákno - do cache pro výsledek, kterej je mezitím ovšem jiným vláknem i s celým TLB/L1 data cache hozen do koše...)
Já to myslel tak, že pokud se CPU dostane do nějakého neveselého stavu, mělo by se díky watchdogu resetovat, aby fungoval i ten HW reset (když se mi nehezky chovala veka kvůli nastavení driveru, tak mi to sice taky odstřelilo systém, ale po resetu to normálně běhalo... krom grafiky, která byla v nějakém zvláštním stavu).
Čili je možné, že by se to časem dostalo samo po uplynutí nějakého timeru do stavu - hele, něco se rozbilo a delší dobu to nereaguje, je čas nahodit reset do nuly/jedničky.
K tomu updatu, je to tak. Taky jsem updatoval, ale pak mi ten OS přišel horší a horší, přitom se ni nerozbíjelo, takže na to dlabu. Navíc od jisté doby (tak 3-4 roky zpět) se MS snad co druhej update nepovedl, psalo se o tom všude možně, jak to odstřeluje OS a kde co, taky dobrá záminka.
Na to čekat nebudu, když mezitím z repráků vychází onen pověstný "Bzzzzzzzzzzzzzzzzzzzzz"...
LoL nejede ani HW reset :o))))) To jsem ještě neslyšel... A máte zapojené vůbec to tlačítko?
Nejede, ani když držíš reset. Nejde ani Power Off, jediný co jde, je držet Power Off a zdroj se vypne. Ano, je to kvalitní zátuh.
To nedává smysl, reset je HW záležitost, tam se na CPU nečeká.
je to na headeru na desce, tak asi odchází deska???
Čert ví, ale po signálu reset by se prostě CPU měl spustit z defaultní adresy. Bez keců, nezajímá ho to, co bylo předtím. Jedině že by to Intel s tím IME totálně po.. a ten pidiprocesor se zaběhl a na reset nereagoval.
Sandy Bridge test je zde:
https://www.phoronix.com/scan.php?page=article&item=pre-pcid-kptiretpoli...
Tři Thnikpady
Domaci uzivatel s Windows 7 a SSD proste nebude delat debila a zaplatu na Meltdown proste nenainstaluje, takze se ho ztrata vykonu nijak nedotkne. Uzivatel Windows 10 s SSD je v prdeli.
Jestli mas Windows 7 a zaplou sluzbu Windows Update sem velice zvedav jak si tu zaplatu na Meltdown nenainstalujes, prispevek hodny inteligenta.
1. Vypni Windows update na svych Windows 7.
2. Jednou mesicne si najdi na webu MS aktualni KB.
3. Jdi na: http://www.catalog.update.microsoft.com
4. Stahni patricna KB s pouze bezpecnostni update (only security update).
5. Nainstaluj.
---
Hotovo, Windos 7 mas plne aktualni. Samozrejme KB pro Spectre/Meltdown si nestahnes, nejsi blazen ne? :-)
Já si nestáhnu ani ty bezpečtnostní updaty, používám peerblock a on dokáže zablokovat i coinminery, takže asi tak...
Patch lze vypnout v registrech, netreba nic tak umorneho..Je otazka jestli to bude fungovat i v budoucnu, ale melo by, je to pro IT Pros... https://support.microsoft.com/en-us/help/4073119/protect-against-specula...
No, co vím, jde na win 7 záplatu bez problému najít, odinstalovat a zakázat. Moc to nefungovalo na ten spam ohledně win 10, ale jinak se system update u win 7 chová vcelku rozumně.
Odinstalace W10 reklamy nevím, já jsem si hnedka vyhledal které updaty to jsou a ty rovnou zablokoval. Takže mi tahle vnucovací politika o disk ani nezavadila.
Nedotkne - nic takovýho instalovat nebudu. Operační systémy (všechny) jsou z podstaty tak děravý, že hledat "bezpečnostní chyby" v HW je prostě blbost. Kór pro HomeUsera. Přečtěte si u "konkurence" Rybku...
+1 Asi nemas Windows 10 co? U Win7 se da proste updatovat softwarove chyby rucnim stazenim z Microsoft katalogu (only-security update). Tak to take delam a Meltdown/Spectre proste vynecham. Jenze co na Windows 10, kde je to bud a nebo? :-/
2x7 a v okolí Mint a XP Wepos :)))
Pozor na linux Mint, nevim, jestli pouziva upravenej Ubuntu kernel nebo vlastni, ale Ubuntu melo s "opravenym" Spectre/Meltdown kernelem taky problem, ze to po restartu zkaplo. Nastesti na linuxu neni nic jednodussiho nez v Grubu vybrat spusteni jinyho kernelu. Otazka ale je co na linuxu do budoucna, prestat aktualizovat kernel a zustat na pred Spectrovskem?
V tomhle případě je to celkem jedno, jde o mírně vylepšený střep "mamince na internet". Nic jiného se na tom v podstatě neodehrává. Je tam tuším tohle :
https://linuxmint.com/edition.php?id=205
Uz jsem to tu myslim psal, ze stareho PC jsem si udelal domaci diskove pole, abych nemusel investovat do NASu a hodil jsem tam Ubuntu 16.04 LTS, take ho ted pro jistotu neaktualizuji, ale ono to ani v mem pripade neni potreba.
Len dúfam, že to oznámia skôr, ako sa to nainštaluje :)
Mám notas s I5 první věc co udělám až ho budu potřebovat vypnu aktualizace. Doma nový PC s Ryzem takže mi to žíly netrhá. Ale v práci jeden na Xeonech, a aktualizace jsou automatické a nejsou práva na změnu. A my musíme jet na nových ovladačích,aktualizacích,patchech atd.
Takže jsem zvědavý až budu potřebovat načítat,rendrovat něco většího a počítač bude tahat komponenty z sdd,hdd a servrového disku najednou o kolik padne rychlost.
Ja nevim, co tady tak placete, ze Vam poklesne vykon. Pokud Vam to tak strasne vadi, tak muzete jednoduse precist dokumentaci k dannym patchum od MS a jednotlive patche jednoduse vypnout jedinou zmenou v registrech. Na serverech je default vypnuto, na desktopech zapnuto, menit se da i pomoci security policy, pokud to chcete udelat hromadne na vice kompech v domene. Takze pokud chcete mit system nazabezpeceny jako doposud, tak si to tak klidne muzete nastavit, pokud obetuje neco z vykonu za vyssi bezpecnost, mate tu moznost, ale nikdo Vas nenuti. Ze to MS koncakum na desktopech vnutil je jenom spravne, vetsinou tomu nerozumi ale az by jim to nekdo nahodou za par let hacknul nebo vyluxoval bankovni ucty tak by rvali jako kravy proc to MS nevyresil za ne !
Co to placas?
Jak to asi vypnu na Windows 10!
Jak ty chyby souvisi s bankovnim uctem? :-D
Co treba si precist toto: https://support.microsoft.com/en-za/help/4074629/understanding-the-outpu... .
K druhemu dotazu asi takhle: k cemu asi muze byt nejake aplikaci, ze ziska pristup k libovolnym udajum ulozenym v RAM jakekoliv jine aplikace nebo i OS ?
Nicmene z vasi reakce chapu, ze Vy jste presne ten typ, kvuli kteremu MS ten pach aktivuje a vnucuje vsem zcela automaticky !
"k cemu asi muze byt nejake aplikaci, ze ziska pristup k libovolnym udajum ulozenym v RAM jakekoliv jine aplikace nebo i OS ?"
..ja jen doufam, ze si tim dotazem delate srandu :))
MS nema komu co povinne vnucovat..ma dat cloveku volbu, stejne jako Vam nema kdo co vnucovat, jaky gumy si date na auto, jaky olej vlejete do motoru nebo jestli jite rizky a nebo radeji svickovou..
s takovým přístupem se ovšem nelze divit, že v logu mých routerů jsou stovky tísíc pokusů o průnik z různých botnetů.
Problém je, že většina lidí vůbec podstatu problému a míru rizika zhodnotit nedokáže (nebudu zakrývat, že ani já Spectre a Meldown do úplné hloubky nerozumím, to už značně překračuje mé povrchní programátorské znalosti a znalosti toho co se děje v CPU).
Takže volba je to maximálně pro lidi co systému rozumí do hloubky. Ostatní jednají emocionálně, nikoliv že by volili tu nejlepší volbu.
Zkus si nejprve zjistit jak ty "chyby" Spectre/Meltdown fungujou. P.S. Znemozneni podobne zneuzitelnosti je aplikovano na urovni weboveho prohlizece (Firefox, Chrome).
To není tak docela pravda. Prohlížeče zejména znepřesnily časovač javascriptu, aby nešel dělat útok jednoduše prohlédnutím zlé komponenty na webu. Ale když do kompu vlítne cokoliv jiného jinou cestou, tak pomocí Spectre/Meltdown může číst cokoliv. I paměť prohlížeče.
Ono to není jen černé ani bílé. První věc je, že ty patche způsobují problémy (testování poslední roky hodně pokulhává). Tzn. je hezké, že teda udělali patch, který sice svým způsobem řeší problém procesorů jednoho výrobce (potencionální riziko vyčtení obsahu kernelu), na druhou stranu způsobí mnohem víc problémů (byl aplikován i na mašiny s AMD cpu - pády, evidentně to nefunguje na haswellech moc dobře a celkově je to takové... nešťastné). V případě W7 se toho dá vyhnout, v případě W10 je to násilím tlačeno.
Druhý fakt je, že byla podle mě fakt největší kravina tohle pustit na veřejnost. Na jednu stranu, ano, teď o problému víme... ale ví o něm všichni a je tu dokonce i ukázkový kód, který to demonstruje. Když to měla v rukou jen NSA a google, pořád to bylo lepší jak v případě "celý svět".
Třetí fakt je, že chyba je jen v intelech (a starších AMD CPU, pokud jsem správně četl). Znamená to tedy, že tato chyba/vlastnost je tu spoustu let a nikdo to neřešil (v AMD zřejmě ano, a jakej je to prcek proti intelu). Ta chyba/vlastno tam neměla zkrátka být, nicméně vše je dneska děravé, jak HW, tak SW.
No a čtvrtý fakt je děravost samotného SW. Fakt si myslíte, že je to tak strašně nebezpečná a kritická díra, že neexistuje tuna dalších podobně nebezpečných (objevených či neobjevených)? To by žil člověk v sakra krásně izolované bublině, kdyby si naivně myslel, že patchnutý OS = bezpečný OS.
Laikům bych radil nepatchovat, ale být obezřetný. Jestliže můj kernel má cca 500MB a program jej dokáže číst rychlostí 0,5MB/s, vychází to na nějakých 17 minut. Jestli je někdo hodně paranoidní, může hesla mít doma na papírku pod klávesnicí a pak je zadávat jen v nezbytný okamžik. Šance že se trefí do okamžiku, kdy by nějaká potencionálně škodná aplikace začala tahat pomaličku obsah kernelu a odchytilo to v daný okamžik to heslo je ještě menší, než pád meteoritu na tuhle planetu. Ten "útok" musí být lokální, tzn. sám uživatel nebo nějaká brebera na tom počítači (která se tam musela nějak dostat) musí inicializovat tento útok, samo se to ze sítě neprovede.
PS: obsah kernelu jsem nikdy neviděl, ale už vidím, jak někdo vypustí breberu, co bude plošně takhle scanoval obsah kernelu co hodinu, posílat to někam do cloudu, kde to bude něco analyzovat a ve změni bordelu hledat řetězce, co jsou možná heslo. Už jen ten traffic 500Mb/h/počítač by byl brutální, fakt bych to chtěl vidět. Tahle chyba bude použitelná jen pro cílený útok, proto jsou nejvíc zranitelná datacentra a servery. Malé podnikatele a domácnosti nikoho moc zajímat nebude, bylo by to strašně moc dat.
Myslím že je lepší fungující počítač byť potencionálně děravý (a to je stále), než sestřelený počítač nějakým patchem (který sám o sobě je evidentně problém).
AMD/Intel - Ne ani v AMD to nikdo neresil, jen je proste nenapadlo, ze budou vysledky spekulativniho provadeni instrukci tak agresivne rvat do cache, z toho totiz vychazi chyba Meltdown specificka pro Intely. Spectre se chova stejne na vsech procesorech.
Nejen, ze cteni probiha pomalu, ale jen kratkou chvili a proto sance na zneuziti u bezneho Franty je mala az temer nemozna. Tady je sance na zneuziti leda u virtualnich pocitacu v popularnim cloudu, kdo chce kam .... :-D
Viz níže. Někde jsem na to narazil, že údajně něco takového lze provést i na buldozerech (neověřeno, nepamatuju si kde).
No a tu druhé je naprosto logické. Slepá důvěra v něco, co nelze jednoduše debugovat a je tak nechutně komplikované a gigantické, jako současné OS, firmware jednotlivého HW... nemluvě o tom, kolik verzí daného SW/HW existuje, je zkrátka hloupé jako věřit v čistý komunismus a demokracii. Ani jedno neexistuje, byť se snažili někteří to za jednu z těchto ideologií považovat. Stejně jako neexistuje bezpečný moderní HW/SW. Jedině že by si člověk napsal nějakej OS sám, ale bude primitivní jako kalkulačka v mobilu, protože dál už ztratí energii hlídat a kontrolovat všechny vstupy a výstupy.
Mam patche na trech W10 masinach a nikde jsem zatim nepozoroval zadny problem. Jestli ono to nezpusobuje problemy hlavne s prasacky napsanym softwarem, tak jak byva bezne. Co se uvolneni informaci o "chybe" tyce, tak pokud je mi znamo, melo to byt uvolneno pozdeji, coz melo dat cas na nalezeni a odladeni reseni, nekdo to vsak pustil do sveta drive, proc to je otazka, ale stalo se. Zverejneni je kazdopadne zcela v poradku (i kdyz nacasovani nebylo idealni), chybu je potreba znat aby mohla byt opravena, v pripade open-source software (ktereho se to take tyka) tezko mohla byt provedena oprava aniz by nekdo zjistil co vlastne opravuje! Co se tyce INTEL vs. AMD, nechci Vam brat iluze, ale AMD procesoru se tato chyba tyka take, pouze jedna ze tri objevenych zranitelnosti se netyka CPU od AMD a neni to proto ze by AMD nejak aktivne chybu resil, je to bud nahoda nebo proste jen dusledek slabsi optimalizace CPU AMD na vykon oproti INTELU. Cela ta chyba totiz vlastne neni chyba, jedna se o naprosto korektni a jasne popsane chovani procesoru sluzici ke zrychleni jeho cinnosti, akorat nikoho zatim nenapadlo ze by se toho dalo zneuzit k bezpecnostnimu pruniku. Krome toho nevim, proc to nekdo hazi apriori na hardware, je to podle mne uplne stejne chyba software, pokud umoznuje zname a zdokumentovane chovani procesoru zneuzit k necemu nekalemu! Predposledni odstavec nema smysl komentovat, zjevne netusite jak pracuje napr. logon proces ve Windows a cela rada dalsich a ze proste cela rada zabezpeceni proste spoleha na to, ze obsah privatni pameti je utocnikum nedostupny!
Opravdu nejsem tak tupej, že bych házel všechno do jednoho pytle. Mám za to, že meltdown (nebo něco ekvivalentího) lze provést i na starším AMD železu. Ostatně jsem zmínil to, že jsem si to nějak pečlivěji neověřoval. Zenu se to netýká, to je všem znalým známé.
Zdokumentované to sice je, ale mám za to, že nikdo nevěděl o tom, že je možné vyčíst artefakty v cache i když by operace měla být zamítnuta. Ona to je i není chyba.
Jestli všechno má vyplout na veřejnost, s tím nesouhlasím. Je rozdíl jestli si umí bombu vyrobit jeden afgánec, nebo celá arábie včetně nevzdělaných/nekultivovaných občanů afriky (tím tu nechci vyvolat nějakou rasovou nenávist, ale obecná negramotnost v těchto místech je celkem známá). Pokud i totální laik dokáže najít (jakože ano) jak takovou bombu sestrojit, něco je špatně. Je jedno, že se k tomu dá dostat i po nějaké době samostudia a proniknutím do problematiky, ale takhle naservírované každému hlupákovi to být nemusí. To samé platí i o této zneužitelnosti/chybě.
No a spoléhat se na dokonalém zabezpečení počítače je opravdu naivní a hloupé. Jestli si opravdu myslíte, že váš počítač či systém je zabezpečen, měl by jste číst pravidelněji co dělá jaký patch v každém OS. Co rok tu máme kritické chyby, které jsou nejnebezpečnější než odjištěná zbraň a ti co nepatchujou jsou idioti, protože jedině pak mají nejbezpečnější počítač na světě. Protože my přeci žádné leaky pravidelně nepotkáváme, tak jako neexistuje černý trh s nástroji a exploity, nic takového neexistuje, nenene.
Jo a abych nezapoměl, ježíšek/santa existuje!
> Druhý fakt je, že byla podle mě fakt největší kravina tohle pustit na veřejnost. Na jednu stranu, ano, teď o problému víme... ale ví o něm všichni a je tu dokonce i ukázkový kód, který to demonstruje. Když to měla v rukou jen NSA a google, pořád to bylo lepší jak v případě "celý svět".
security through obscurity ? jasne, je prece mnohem lepsi kdyby byli zticha... nekdo by na to nahodou prisel za pul roku, napsal ransomware a cely svet by byl fpici... fakt mnohem lepsin nez mit moznost si vybrat jestli chcete vykon a nebo bezpecnost... *facepalm*
jo a BTW, okamzik "kdyz to mela v rukou jen NSA a google" nikdy neexistoval. Kdyz si o historii trochu prectete, cela tahle vec jde zpatky ~1 rok a objevilo to nezavisle na sobe vicero lidi.
> Jestliže můj kernel má cca 500MB
Vas kernel nema 500 mega zcela urcite. V nejhorsim pripade tak 50, ale mnohem pravdepodobnejsi je 10-20. Dal to nebudu ani komentovat, evidentne netusite o cem mluvite...
Paměť jádra je co? Není to náhodou celá ta oblast, která má být "skryta" a ve které jsou právě ty údaje, které chceme vydolovat?
Samozřejmě že o tom vědělo víc osob, včetně intelu samotného, který se to snažil zalepit. Takže podle vás je v pořádku, když tedy každý ví jak sestrojit bombu, jak spáchat efektivně teroristický čin, vygenerovat nějakej ransomware, spáchat breberku? Já teda nevim, ale přijde mi mnohem schůdnější, když tyhle údaje jsou pod pokličkou. Jasně, čas od času to leakne a pak se člověk nestíhá divit. Jenže do té doby je od toho klid. Ano, smrdí to. Taky jsem nerad, když vím, že existuje několik takovýchto organizací (i když několik... ono jich je kopec, jen se o nich moc neví, kromě okolí zainteresovaných jedinců). Nicméně jak píšu, raději budu když recept na sestrojení bomby má >1% osob na planetě, než široká veřejnost.
A k tomu, že by se na to přišlo... přišlo se na to prakticky po více jak po 20 letech. Kdyby se to drželo pod pokličkou, mohla být teoreticky spáchána oprava v další generaci s tím, že by se to nechalo vyhnít a nechat to vybublat třeba po 10 letech, kdy už daný HW bude morálně za zenitem. Dneska by asi těžko někomu trhalo žíly, kdyby vyplulo na povrch, že P4 byly děravé jak řešeto (ano, existuje tu jisté minimální množství takovýchto strojů v oběhu, ale bude jich tak málo...).
Mate v tech svych teoriich jeden maly problem... a sice, kdyz je nekde jednou identifikovana zranitelnost nekym, jak muzete vedet, ze to stejne nedetekoval nekdo jiny. Myslet si,ze kdyz neco dam "pod poklicku", ze na to nikdo jiny neprijde..zvlaste v IT.. tak to opravdu nefunguje :)
Ale to já netvrdím, že na to nikdo jinej nikdy nepříjde. Je to o jisté pravděpodobnosti, že se v tom někdo bude rejpat a trefí se. A jak vidno, tahle chyba/postup/whatever tu žije přes 20 let (a přišlo se na to evidentně až když se v tom někdo opravdu detailně rejpal).
Takhle se o tom ví (super, hurá, víme o tom že tu máme díru která je celkem nehezká) a kdokoli to může zneužít (a nebo také patchnout s nepříjemnými dopady). Kdyby to nevybublalo, věděli by o tom pouze ti zainteresovaní a byl by čas s tím něco udělat. A myslím si, že by to vrhlo stejně nehezké světlo na intel jako teď, jen by to o nějakej ten rok/desetiletí nemusel být takovej "průser" jako teď. Pakliže to nikdo nezneužíval a věděl o tom asi nějakej laborant googlu, možná NSA a kdo ví kdo ještě (jak se ona informace šířila, což je samo o sobě taky takové blbé), mohlo to dopadnout lépe.
Samozřejmě je naivní si myslet, že by tohle nikdy neprasklo. V případě, že někdo zneužitelnost používá a to ještě k tomu v nějaké nekalé praktice (brebery, ransomwary, ...), tak je celkem logické, že se zjistí a vypustí do světa, jak to opravit či jak tomu předejít. Tady tohleto evidentně nikdo nezneužíval a mohli zkrátka držet svěrače.
Google to zveřejnil schválně, aby nemusel platit vyděračcké ceny za Intel CPU, dosáhl slevy, posílil svoje (budoucí opravené) ARM řešení... nevim, jsou to *uráci.
Kdyby to nezveřejnili, tak si to neinstaluju.
V dnešní době, kdy každej druhej web těží a cojávim, tak jsme nuceni instalovat i takovýto paskvil. V reálu teď celý podsvětí (+ rusáci + ... + ilumináti) pracuje na tom, jak ty chyby zneužít a je naivní si myslet, že ne.
A Kalousek - zapomněl jsi na Kalouska. Ten určitě špekuluje co s tím od doby, co si o tom přečetl... ;)
Postup určitě neexistuje 20 let, 20 let existují procáky se spekulativním vykonáváním kódu a minulo nás za tu dobu dost odlišných architektur. Postup byl vynalezen teprve nedávno a dostal ta dvě zajímavá jména. Ve své podstatě se nejdená o bug, ale o "to by nás nikdy nenapadlo". Protože ono to funguje jak to fungovat má, do provilegované paměti CPU stále nikoho nepustí. Někdo si u Googlú musel hodně zabrainstormit, aby našel cestu jak zkoumat co se vlastně děje se zahozenými spekulacemi (no nic jsou zahozeny) a jak bočním kanálem dost mazaně otestovat stránku v cache (nikoliv přímo přečíst) a zjist pomocí měření času co tam je. Ovlivňování spekulačního mechanismu u Meldown už je vyloženě "šílenost", nad tím musel někdo hodně koumat.
Dobré je na tom to, že někdo jiný (špatný) mohl tento postup znát, třeba v NSA by se určitě našlo využití, ale i jinde kde je třeba překonat poměrně silné bariéry dnešní šifrované komunikace (to už tak bývá, že stejnou věc objeví více lidí nezávislou cestou), takže to že se aktivně hledají mezery vyráží zbraně z ruky těm mozkům co je hledají také a prodávají je "těm špatným" nebo třípísmenkovým organizacím.
Normalni Pepa si to 'jednoduse' neudela, protoze tomu jednoduse nerozumi. A to za predpokladu, ze mu ten system stale jeste jede.. :)
Bude zaujímave porovnať výkon Intel vs AMD na zaplátaných W10.
to by melo zacit brzy. AMD pry distrubuuje taky updaty mikrokodu pro Spectre 2.. Tipnu si 1-2 tydny max a budem znat neco. Do te doby mozna i MS nejake ty chyby spravi..snad
Windows 7 doted stale ukazuji ze sou lepsi nez nedodelane a chovanim se aktivne ze dne na den menici Windows 10, nedam na 7 dopustit, jsou jako legendari Windows XP.
Bych spíš řek, že win7 (narozdíl od win10) už jsou venku z beta verze :D
beta verze sedmiček byly Windows Vista.
W7 jsou už hlavně k.o. Lepší jsou W8.1 které si rozumí s USB 3 i NVme bez jakéhokoliv přibalování ovladačů do instalačky a v pohodě snesou i přenos z amd platformy na intel. Jen je škoda že tam tak vnucovali to Metro a tím Osmičky lidem znechutili. Dát při instalaci jednoduchou volbu zda uživatel chce patlací Metro režim nebo klasický pracovní tak kde by Sedmy dneska byly. Vlastně když se vezme celý cyklus tak Vista byla alfa, 7 beta a W8.1 vyzrálý produkt, uzavření životního cyklu který byl započat Vistou.
Jsem běžný uživatel, občas hry, web, nastavování mnoha síťových prvků (žádný rendering, simulace, složité výpočty). i7-Skylake, SSD NVMe SAMSUNG 960 EVO. Nevím, zda už proběhlo opravdu veškeré "záplatování", nicméně denně PC jede cca. 8 hodin a nepozoruji naprosto jakoukoli změnu. Žádné bluescreeny, restarty. Nepozoruji žádný viditelný výkonnostní propad (neprovádím benchmarky, považuji to za zbytečnost). Takže asi tak. Nicméně nevylučuji, že na tom může být někdo jinak. Jen postuji report, že u mě vše OK.
Takze ak mam Haswell - nemam bug, nedostanem zaplatu alebo len nespravili benchmark nato?
Jestli mas Haswella, tak mas bug, zaplata dorazi a jako bonus k tomu pribudou problemy se stabilitou systemu (mozna proto tam neni pro nej benchmark).
No aspon nemusim uz zit v neistote :D
Pro tyto případy je lepší tomu neříkat bug, ale postup (bug je nějaká konkrétní často opravitelná chyba). Lze uplatnit postup Spectre a Metldown na Haswellu? Ano jde. Zřejmě jej lze uplatnit i na ARMu v telefonu (záleží na verzi architektury).
Mně by docela zajímalo, jestli dává nějaký smysl instalovat záplatu i na „guest“ operační systém běžící ve virtuálce, pokud zazáplatuji ten hostitelský operační systém. Protože dvojí zpomalení už by bylo asi dost mrzuté.
V práci jsme dostali záplatu na Windowsy befelem a i když to v běžných situacích člověk nepozná, občas mám pocit, že ten systém už nemá tak svižné odezvy jako kdysi. Zejména když se pouští takové ty „otylejší“ aplikace jako webový prohlížeč a podobně. Jedu na Haswellu i5-4200M, Windows 8.1, 5120GB SSD.
Přesně tu samou otázku si již týden též kladu. Tedy když je zazáplatován hostitel (v tomto případě Linux na úrovni jádra), že ani host nadále nemá možnost provádět přízračně rozpouštěcí operace. Hlavně pro "muzeální kousky" ve virtuálkách mě to zajímá.
Taky otazka k zamysleni.
Asi bude zalezet, co ve virtualce pojede v emulaci a co pres passthrough, pak by se chyba mohla zneuzit i pres virtual.
Zrovna virtualky k testovani smejdstva idealni nejsou. Dost smejdu (ale budou to maximalne jednotky %) je dokaze detekovat a pak bud neslapou (casta varianta), nebo se chovaji jinak nez na realnem systemu (par PoC existuje, v praxi jsem na nic takoveho nenarazil).
Potom je tu jeste sance, ze kvuli chybe ve virtualce smejd vleze do ziveho systemu (zvlast, kdyz hostitelem bude ta vec od MS - ted me napadla u starsich VBoxu zranitelnost VENOM).
Evidentně to jde, když to řeší datacentra a cloudisti. Zejména v režimu VT-d není důvod, proč by to nešlo. Jinými slovy bych nesázel na to, že stačí zapatchovat hostitele. U druhů zranitelností, co se řeší BIOSem/mikrokódem by to mělo stačit u hostitele. Na druhou stranu to implikuje nutnost opatchovat i ten virtuální engine - musí ho znovu zkompilovat vývojář (myšleno tak, aby v rámci virtuálky neřádily brebery). Můj názor.
Asi měl. Pokud ten kód jede přímo a není emulován, bude to mít ten samý problém jako samotný systém minimálně v rámci té virtuálky.
Fascinuje me, jak lidi kvici, ze propad 5%, ze si nemuseli kupovat novy procesor atd.
Pritom je to uplna kravina, nikdo (aspon ne nikdo trochu normalni) si nekupuje novou generaci CPU kvuli 5% narustu vykonu, ale kvuli novym instrukcim, technologiim, polovicni spotrebe a podobne.
Pokud chce nekdo 5% navic, tak si muze o 5% zdarma pretaktovat ne?
Dale k tem reklamacim, fakt nechapu fyziku teto logiky. CPU je porad stejne, nikdo vas nenuti to mit pripojene k internetu nebo zaplatu instalovat ne?
Logika typu: existuji viry, antivir mi zpomaluje pocitac, chci slevu na OS, na CPU, na RAM ... OMG!
A co se tyce tech vysledku, jedna se o synteticke benchmarky, ktere dnes uz snad nikoho nezajimaji (to je jak cinebench a podobne, ktery pouzivaji snad jen v redakcich ...).
U HDD je jasne, cely system je tak tristne pomaly, ze se zaplata neprojevi. U obskurne starych W7 s SSD, kde stare W7 neumi plne vyuzit potencial SSD, tak se oprava trochu projevi.
U W10, kde jede SSD naplno se oprava projevi o trochu vic. V realu se samozrejme nic nedeje a tyhle synteticke testy jsou nicnerikajici (kdo asi nacita s SSD konstantne 0.5kB bloky ze?).
Nejvic ale stejne rvou pitomecci, co jeste jedou na obskurnich W7, kde jim to stejne brzdi stary system na novem HW, ale v realu maji vic problemu se zastaralosti OS nez jim muze, byt teoreticky, spectre nebo meltdown prinest.
A at je to jak chce, stare mrtve veci se bud nemaji pouzivat nebo je u nich v 99.999% propad vykonu zanedbatelny. A nove veci (DB atd, kde ma byt nejaky propad snad meritelny), tak tem vychazeji pravidelne aktualizace, ktere uz budou zkompilovany, aby chybu eliminovaly, takze opet zadny problem. Pro OS uz aktualizace jsou, pro CPU taky.
----
Abych to shrnul, byl nejaky problem, je vyresen a realne se uz vlastne nikoho netyka. Vsem to jede a jediny, kdo z nej ma tezkou hlavu, jsou ti, co si o tom precetli a stale ctou ruzne benchmarky, fabulace atd ...
Ztrata 5% asi vytoci jen hnidopichy, jenze jsou situace, kdy vykon pada o dost vic (a to dokonce i v nekterych hrach - me prumerne FPS moc nezajima, spis nastvou propady a prave to se po updatu deje daleko casteji).
DB ani VM nejsou nove veci, nova kompilace mozna neco z propadu stahne, jenze z podstaty problemu pravdepodobne nebude mozne vsechna omezeni eliminovat. Navic ani ty patche s dost velkou sanci problem nezlikviduji, ale jen omezi.
"kdo asi nacita s SSD konstantne 0.5kB bloky ze?" hm, co prave nejaka ta DB?
Dalsi vec je, ze se o problemu vedelo, nikomu se nic nereklo a "vadna" CPU se prodavala zvesela dal. Tohle uz na uspesne soudni tahanice je, zvlast za oceanem (a ani v EU, s dobre napsanou obzalobou, by sance na vyhru byla docela vysoka).
ps. jestli komentar byl myslen vazne, pak se lepsi prezdivka vybrat nemohla ;)
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.