pofigist
|
|
January 04, 2018, 04:38:08 PM |
|
Не хочется терять 30% мощности процессора на патче, что интел не может нормально тестировать процессоры перед началом выпуска.
Да похеру им все. Хотят быстрее заработать и делают кое как.
|
|
|
|
|
|
|
|
There are several different types of Bitcoin clients. The most secure are full nodes like Bitcoin Core, but full nodes are more resource-heavy, and they must do a lengthy initial syncing process. As a result, lightweight clients with somewhat less security are commonly used.
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
|
y6uBaToP
Member
Offline
Activity: 83
Merit: 11
A New Digital Streaming Reality
|
|
January 04, 2018, 04:44:59 PM |
|
Вот только хотел себе компьютер купить на базе ИНТЕЛ, теперь буду думать что то другое как страшно!!
|
|
|
|
Fidelius
|
|
January 04, 2018, 04:47:59 PM |
|
Если это правда, то сейчас все ломанутся менять процики. Но мне кажется, что появится какая-то защитная функция, которую разработчики будут продавать, а потом еще выяснится, что никакой угрозы не было, а кто-то на этом наварится просто.
|
|
|
|
yokotoka (OP)
Member
Offline
Activity: 126
Merit: 23
|
|
January 04, 2018, 04:50:18 PM |
|
Не хочется терять 30% мощности процессора на патче, что интел не может нормально тестировать процессоры перед началом выпуска.
Там всё сложнее. Сам механизм предсказания ветвлений, вшитый в проц, игнорирует защиту памяти по соображениям производительности. Тут косяк by design. И пока непонятно как сделать аппаратный фикс в новых моделях так, чтобы и скорость сохранилась и алгоритм работал. Просто мы достигли того момента, когда механизм, дающий ускорение в разы настолько сложен, что предвидеть все баги невозможно. А без него откатимся лет на 15 назад.
|
|
|
|
juni4000
|
|
January 04, 2018, 05:35:04 PM |
|
Со Spectre ситуация сложнее, и простым патчем проблему не решить. По словам экспертов, Intel придется полностью изменять архитектуру всех современных процессоров, а это может привести к тому, что пользователей будут подталкивать к покупке устройств на новом поколении процессоров. Так чего акции Intel падают, это же золотые горы! Кого мотивирует покупать проц, стоимостью больше в 2 раза, а по производительности выше на 10% (условно)? А угроза от хакеров это серьезно. Напоминает криптобиржи которые страдают от хакеров, а владелец потом покупает недвижимость на островах.
|
|
|
|
Loran Lann
Member
Offline
Activity: 252
Merit: 12
|
|
January 04, 2018, 06:07:28 PM |
|
Ничего себе новость, может это фейк, но на всякий случай не буду включать старенький ноутбук на котором стоят кошельки.
К сожалению это не фейк и, благодаря тому что раструбили на весь мир об этом, куча народа уже ринулась искать инструменты для использования этой уязвимости и даже нашли их.
|
|
|
|
deisik
Legendary
Offline
Activity: 3444
Merit: 1280
English ⬄ Russian Translation Services
|
|
January 04, 2018, 06:08:43 PM |
|
Вот так и новости подкатили!CPU сдаст вас с потрохами: самая серьезная дыра в безопасности за всю историю наблюдений?Вкратце: теперь любой сайт в браузере может просканировать память вашего компьютера и попробовать украсть кошельки и пароли, если вы их недавно вводили и они закешировались в памяти.И не только крипту. Доступ к памяти полный. Ни защищенные процессы, ни виртуалки не помогут - любой процесс может читать любую память, выходя из песочниц и гостевых систем наружу, обходятся любые аппаратные защиты и ограничения. Баг в проце очень серьёзный. Обновление микрокода не поможет. Поможет только паранойя на уровне ОС, из-за чего всё сильно замедлится. Я чего-то не догоняю Как, например, сайт запущенный на хосте может прочитать память виртуальной машины? Ну допустим прочитать-то он её прочитает, ну и что? Что он там увидит конкретно? Виртульная машина - это просто отдельный процесс со своей выделенной областью памяти, и чтобы разобраться, что в этой памяти чему соответствует, нужно писать свой собственный девиртуализатор. Я что-то не так понял и что именно?
|
|
|
|
Loran Lann
Member
Offline
Activity: 252
Merit: 12
|
|
January 04, 2018, 06:13:38 PM |
|
Вот так и новости подкатили!CPU сдаст вас с потрохами: самая серьезная дыра в безопасности за всю историю наблюдений?Вкратце: теперь любой сайт в браузере может просканировать память вашего компьютера и попробовать украсть кошельки и пароли, если вы их недавно вводили и они закешировались в памяти.И не только крипту. Доступ к памяти полный. Ни защищенные процессы, ни виртуалки не помогут - любой процесс может читать любую память, выходя из песочниц и гостевых систем наружу, обходятся любые аппаратные защиты и ограничения. Баг в проце очень серьёзный. Обновление микрокода не поможет. Поможет только паранойя на уровне ОС, из-за чего всё сильно замедлится. Я чего-то не догоняю Как, например, сайт запущенный на хосте может прочитать память виртуальной машины? Ну допустим прочитать-то он её прочитает, ну и что? Что он там увидит конкретно? Виртульная машина - это просто отдельный процесс со своей выделенной областью памяти, и чтобы разобраться, что в этой памяти чему соответствует, нужно писать свой собственный девиртуализатор. Я что-то не так понял и что именно? Насколько я помню там не нужен девиртуализатор, потому как под вируталку задействуются те же области памяти и в таком же порядке что и для операционной системы.
|
|
|
|
yokotoka (OP)
Member
Offline
Activity: 126
Merit: 23
|
|
January 04, 2018, 06:18:48 PM |
|
Скупайте процы AMD, глупцы! На волне этой новости они гарантированно подскочат в цене и уменьшатся в доступности.
|
|
|
|
admtall
Member
Offline
Activity: 322
Merit: 10
|
|
January 04, 2018, 06:21:45 PM |
|
Похоже на то как огрызки режут производительность своих устройств, чтобы зомбогрызки покупали самые новые айфоны, только Intel нашли более менее приличный довод в пользу этого)
|
|
|
|
deisik
Legendary
Offline
Activity: 3444
Merit: 1280
English ⬄ Russian Translation Services
|
|
January 04, 2018, 06:28:36 PM |
|
Вот так и новости подкатили!CPU сдаст вас с потрохами: самая серьезная дыра в безопасности за всю историю наблюдений?Вкратце: теперь любой сайт в браузере может просканировать память вашего компьютера и попробовать украсть кошельки и пароли, если вы их недавно вводили и они закешировались в памяти.И не только крипту. Доступ к памяти полный. Ни защищенные процессы, ни виртуалки не помогут - любой процесс может читать любую память, выходя из песочниц и гостевых систем наружу, обходятся любые аппаратные защиты и ограничения. Баг в проце очень серьёзный. Обновление микрокода не поможет. Поможет только паранойя на уровне ОС, из-за чего всё сильно замедлится. Я чего-то не догоняю Как, например, сайт запущенный на хосте может прочитать память виртуальной машины? Ну допустим прочитать-то он её прочитает, ну и что? Что он там увидит конкретно? Виртульная машина - это просто отдельный процесс со своей выделенной областью памяти, и чтобы разобраться, что в этой памяти чему соответствует, нужно писать свой собственный девиртуализатор. Я что-то не так понял и что именно? Насколько я помню там не нужен девиртуализатор, потому как под вируталку задействуются те же области памяти и в таком же порядке что и для операционной системы. Ждём патча от VMware С блэкджеком и шлюхами (зачёркнуто) шифрованием памяти и переадресацией (если, конечно, там действительно всё так печально с памятью). В общем я зашёл на сайт AMD и там написано, что для AMD-шных процев актуален только один тип уязвимости из трёх вариантов, который устраняется установкой патча, при пренебрежимо малой потере производительности, а именно "Resolved by software / OS updates to be made available by system vendors and manufacturers. Negligible performance impact expected". Кто знает, Линус уже запилил обновление для ядра?
|
|
|
|
yokotoka (OP)
Member
Offline
Activity: 126
Merit: 23
|
|
January 04, 2018, 06:32:29 PM |
|
Я чего-то не догоняю
Как, например, сайт запущенный на хосте может прочитать память виртуальной машины? Ну допустим прочитать-то он её прочитает, ну и что? Что он там увидит конкретно? Виртульная машина - это просто отдельный процесс со своей выделенной областью памяти, и чтобы разобраться, что в этой памяти чему соответствует, нужно писать свой собственный девиртуализатор. Я что-то не так понял и что именно?
Поиск по сигнатурам может найти вполне определённые последовательности, после которых начинаются данные, или сами данные, когда они имеют определенные структуры. Или выйти на структуры данных, в которых хранятся адреса памяти, по которым можно вытащить sensetive-информацию. В общем, представьте, что у вас на компе запущен чей-то ArtMoney. И ищет он по определенным характерным паттернам ваши секреты - документы, закрытые ключи и т.п. Так как все это хранится в структурах, которые крайне редко меняются, то найти можно много чего интересного с большой вероятностью. Переписать этот ArtMoney ничего не может, но скопировать злоумышленнику - легко. А тот уже со своего компа сможет инициировать то, что нужно, например перекинуть крипту с вашего кошелька на свой. Это если в лоб по-быстрому делать для общего случая. А можно и похитрее - лазить в таблицы процессов, смотреть там определенные ячейки памяти... Многое из того, что вы делаете со своим компьютером - находится в памяти. И кейлоггер клавиатуры тоже, да. Особенно в Windows 10. Телеметрия же. Ради вашей же собственной "безопасности"!
|
|
|
|
Castle07
Member
Offline
Activity: 66
Merit: 10
|
|
January 04, 2018, 06:39:00 PM |
|
Я думаю, пока детали не раскрываются, и Intel не делает официальных заявлений, нам остаётся только ждать, когда можно будет полностью оценить серьёзность озвученной проблемы. А пока что, новость больше похожа на заявление от представителей жёлтой прессы.
|
|
|
|
startorr
Member
Offline
Activity: 322
Merit: 12
|
|
January 04, 2018, 06:41:33 PM |
|
Особенно обидно за Linux, понятно дело что не сообщества косяк, а аппаратная лажа, но все равно не хочется терять треть мощностей из-за ошибки недоразработчиков, недоинженеров и недопрограммистов.
|
|
|
|
yokotoka (OP)
Member
Offline
Activity: 126
Merit: 23
|
|
January 04, 2018, 06:48:21 PM |
|
Я думаю, пока детали не раскрываются, и Intel не делает официальных заявлений, нам остаётся только ждать, когда можно будет полностью оценить серьёзность озвученной проблемы. А пока что, новость больше похожа на заявление от представителей жёлтой прессы.
Ага, а выпущенные патчи для всех систем со статусом "критические", которые замедляют в том числе корпоративные системы - это так, поссать выйти? На форумах хостеров и облачных провайдеров уже вой. Лёгким движением руки их бизнес теряет 20-30% ресурсов. С СУБД (например Postgres) и виртуализацией вообще жопа - там просадки заходят за 50%, т.к. активно используется кеш процессора. С heartbleed так же было. Сначала народ не верил, а потом, когда раскрыли все детали и появились рабочие эксплоиты, дампящие память любых серверов - стало сильно не смешно. В общем, сегодня очередной день, когда жизнь разделилась на "до" и "после".
|
|
|
|
orisbar
Member
Offline
Activity: 294
Merit: 10
|
|
January 04, 2018, 06:48:47 PM |
|
Интересно, а менеджеры паролей типа от Касперского и прочие, которые пароли сами подставляют могут помочь от подобных зловредов, там же они в криптопамяти хранятся и ручками не вводятся.
|
|
|
|
CryptoKush
|
|
January 04, 2018, 07:01:16 PM |
|
А если не Виндовс 10 то что делать?
|
|
|
|
chimk
|
|
January 04, 2018, 07:15:19 PM |
|
А если комп используется только для 2-3 бирж, электронной почты и кошельков это уменьшает вероятность7
|
|
|
|
yokotoka (OP)
Member
Offline
Activity: 126
Merit: 23
|
|
January 04, 2018, 07:31:28 PM Last edit: February 01, 2022, 04:52:14 PM by Xal0lex |
|
А если не Виндовс 10 то что делать?
Если макось - дождаться и накатить апдейт. Если линух - накатить апдейт уже сейчас. А если комп используется только для 2-3 бирж, электронной почты и кошельков это уменьшает вероятность7
Уменьшает. Но тихо хакнуть биржу и пропихнуть зловреда туда - очень заманчивая идея для многих сейчас.
|
|
|
|
Goodvin
|
|
January 04, 2018, 07:41:25 PM |
|
Теперь производители процессоров будут зарабатывать. Выпустят новое поколение которое расскажут , лучше и производительнее, чем было. Вообщем все как всегда, продажи подымут и все по новой.
как всегда - такая себе борьба добра со злом, но за бабки. Еще этого не хватало, теперь сиди и думай что с этим всем делать, и когда выпустят новый процессор.
|
‗▄▄▄‗ ▄███████▄ ▄██████████▀ ▄██████████▀ ▄██████████▀ ‗▄▄▄‗ ▄██████████▀ ▄███████▄ ▄██████████▀ ▄██████████▀ ▄██████████▀ ▄██████████▀ ▄██████████▀ ▄██████████▀ ‗▄▄▄‗ ▄██████████▀ ▄██████████▀ ▄███████▄ ▄██████████▀ ▄██████████▀ ▄██████████ ▀███████▀ ▄██████████▀ ▄████████████ ▀███▀ ▄██████████▀ ▄██████████████ ▄████████████ ▄████████████████ ▄██████████████ ▄██████████▀███████ ▄████████████████ ▄██████████▀ ██████▀ ▀███████▀ ██████▄██████████▀ █████▀ ▀███▀ ███████████████▀ ███▀ ▀████████████▀ ▀▀ ▀████████▀ ▀████▀ ▀▀
| r | ETERBASE
| ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ ▐ | | ▌ ▌ ▌ ▌ ▌ ▌ ▌ ▌ ▌ ▌ ▌ ▌ ▌ ▌ ▌ | . rSIGN UP NOWr
|
|
|
|
|