Хороший тред. Подписался.
БЛЯТЬ

>>2224690 (OP)
>opennet.ru
А есть ссылка на авторитетный источник, а то к этим питухам доверия нет.

> Детали уязвимости находятся под эмбарго до тех пор, пока не будут выпущены исправления, которое намечается на середину января 2018 года, когда выйдет новое ядро Linux и ежемесячное обновление безопасности для Windows. Проблема возможно уже исправлена в ядре 4.14.11, учитывая огромный размер инкрементного патча (229 KiB).
> Суть уязвимости, скорее всего, заключается в том, что процессоры Intel при спекулятивном выполнении кода не выполняют проверки на безопасность инструкций, которые позволяют читать сегменты памяти, что позволяет любому пользовательскому приложению получить доступ к памяти ядра, тем самым позволяя прочитать закрытые данные, такие как ключи шифрования и пароли. Большую опасность проблема также представляет для систем виртуализации, так как позволяет получить доступ к памяти вне гостевой системы.

>>2224696
Уже практически везде есть, чекай ресурсы которым доверяешь.

> Для решения проблемы разработчикам ядер пришлось полностью разделить память ядра и память пользовательских приложений, однако такое решение приводит к серьёзному падению производительности из-за постоянной необходимости замены указателей на память.
> Разработчики из GRSecurity протестировали патчи и увидели огромное падение производительности. Разработчики PostgreSQL отметилипадение производительности в тесте pgbench на 23% (при использовании процессоров с PCID - 17%).
> Компания AMD утверждает, что её процессоры уязвимости не подвержены. Работа над исправлением уязвимости в других операционных системах также активно ведётся 

Ну чуваки, лично я рот ебал такую безопасность, у меня старенький пентак, его впритирочку хватает для комфортной работы. Благо хоть с десятки укатился и смогу сам решать какие обновы ставить, дрисняткодауны соснули как всегда больше всех.

>>2224690 (OP)
После новогоднего похмелья соберут разработчиков, выебут в рот и жопу, те почешутся и что-нибудь придумают, закроют дыру без потерь производительности и никто ничего не заметит. Расходимся.

>>2224714
Дыру нельзя закрыть на уровне микрокода. Вообще.

>>2224690 (OP)
Самый главный вопрос, кто в итоге то соснул?

>>2224718
Штеуд, пользователи, разработчики, хостинги... все.

>>2224718
Никто, амудауны высосали победу из пальца.

Все процессоры, изготовленные на Земле - уязвимы. Для полной условной защиты необходимо заказывать проектирование стороннему разработчику с других звездных систем, только так можно обеспечить должную секретность и ираациональность кода. А сделанное человеком человек же и взломает.

А у меня xeon e5450, мой цп не подвержен риску, он же вроде старше 10 лет. Ахахаха я победил! Возможно даже мой пк догонет по производительности современные i3 с патчем

>>2224716
Ты сказал?

>>2224749
Неа.

>>2224761
> Intel 530

>>2224697
>позволяет любому пользовательскому приложению получить доступ к памяти ядра, тем самым позволяя прочитать закрытые данные, такие как ключи шифрования и пароли
Это не баг, это фича американской гебни. Инфа 100%.

Алсо, АМД-победа!

>>2224747
Два чаю зеонщику.
Но все таки пора на e5 1650 перекатываться.

Отличный повод отказаться от легаси говна

>Процессоры AMD тоже замедлятся из-за патчей для чипов Intel, если разработчики не исключат их из «заплаток»
Хахахахахахаха

>>2224808
Очевидно, красных исключат.
Тем более в линуксе уже можно аргументом ядра это сделать.

>>2224747
Вроде даже core2duo соснул, а он примерно времен твоего зиона

>>2224707
ебать ты нищук

Дрисняткопетуху неприятно, найс.

>>2224690 (OP)
>opennet
Ясно.

>>2224840
https://www.phoronix.com/scan.php?page=article&item=linux-415-x86pti&num=1

https://www.phoronix.com/scan.php?page=article&item=linux-415-x86pti&num=2

https://www.phoronix.com/scan.php?page=news_item&px=x86-PTI-Initial-Gaming-Tests

https://www.fool.com/investing/2017/12/19/intels-ceo-just-sold-a-lot-of-stock.aspx

http://pythonsweetness.tumblr.com/post/169166980422/the-mysterious-case-of-the-linux-page-table

https://lkml.org/lkml/2017/12/27/2

>>2224690 (OP)
А в играх производительность упадет или нет? А конце концов, они выполняются на ядре видеокарты Нвидия, причём тут Интел и его видеокарточки?

>>2224884
Естественно, он же распределяет задания. Почитал бы хоть про архитектуру ПК.

>>2224886
вот блин, и так трешка (Dark Souls III) шла на минималках, теперь ещё и тормозить начнёт. Про неоптимизированное говно типа The Evil Within 1 и говорить страшно. Неужели пришло оно, то самое время перестать ставить заплатки.

>>2224884
В играх поднимется, базарю.

>>2224904
>>2224812

>>2224778
>АМД-победа!
>>2224812
>Очевидно, красных исключат.


уже исключили, ага хуй там
>>2224904
>на это указывает исправленная версия ядра Linux под порядковым номером 4.15, которая считает, что AMD содержат уязвимость

>>2224905
Когда исключат тогда и приходите а на сегодняшний день красные сосут красного боратыря

>>2224907
Енжой ёр жёлтая пресса, бгг.

>>2224690 (OP) Так радоваться надо, сейчас дешевые зеончики пойдут, ДЦ будут сливать железо в пользу амуды новой резиции штеуда. А на дырку в безопасности плевать, она актуальна лишь для впс-хостеров. На персональном же пк если кто-то получил возможность исполнения нативного кода то ты уже в жопе.

>>2224884 Производительность сильно упадет там где есть частые переключения контекста. Тот же openvpn наверное вообще встанет раком. А вот игры, рендер и прочие чисто пользовательские приложения пострадают крайне незначительно.

>>2224904
>>2224904
>Однако радость поклонников «красных» оказалась преждевременной — разработчики, похоже, решили не учитывать защищенность архитектуры AMD от подобного типа атак и выпустить универсальные исправления KPTI для всех систем.

АВОТХУЙ
https://lkml.org/lkml/2017/12/27/2

arch/x86/kernel/cpu/common.c | 4 ++--
1 file changed, 2 insertions(+), 2 deletions(-)

diff --git a/arch/x86/kernel/cpu/common.c b/arch/x86/kernel/cpu/common.c
index c47de4e..7d9e3b0 100644
--- a/arch/x86/kernel/cpu/common.c
+++ b/arch/x86/kernel/cpu/common.c
@@ -923,8 +923,8 @@ static void __init early_identify_cpu(struct cpuinfo_x86 c)

setup_force_cpu_cap(X86_FEATURE_ALWAYS);

- / Assume for now that ALL x86 CPUs are insecure */
- setup_force_cpu_bug(X86_BUG_CPU_INSECURE);
+ if (c->x86_vendor != X86_VENDOR_AMD)
+ setup_force_cpu_bug(X86_BUG_CPU_INSECURE);

fpu__init_system(c);

>>2224948
Хорошо быть потреблядью с:

>>2224947
WASM. asm.js.

>>2224955 Ответочка от амд тоже не блещет адекватностью.
https://twitter.com/BryanLunduke/status/948430797266042880

Лажает интел, а тормозит амуда, какая прелесть

>>2224963
Нет, этот патч как раз адекватный.
Почему нет?

>>2224984 Нет никаких данных о уязвимостях в core2duo, atom и процессорах via, vortex86.
Да и вообще уважающие себя люди не станут устраивать эту войну правок, а спокойно заявят что наших процессоров эта проблема не касается, через пару недель опубликуется сплоит и вы сами все проверите. А если разработчики ядра хотят перестраховаться то это их право.

>>2224690 (OP)
Пиздец какой-то. Из-за интел-петухов и виртуализированных петухов у меня теперь игры под вайном тормозить будут. Суки.

>>2224989

Вот скажи, нахуй ты на линуксе в игрушки играешь?

>>2224990
>Вот скажи, нахуй ты на линуксе в игрушки играешь?
Какой-то странный вопрос. Может, ты хотел спросить
>Вот скажи, нахуй ты в игрушки играешь?
, не?

>>2224992
Да. Итак, каков твой ответ?

>>2225000
Потому что могу.

>>2225002
Принято.

>>2225002
А теперь правильный ответ

Зря я похоже продал свою некродвачевальню на Athlon II x4.

>>2224690 (OP)
А соснули как всегда пользователи WINDOWS. Патчи в Linux отключаемые, а в шинде придется есть то, что господин и интел дали без вариантов.

>>2225062
>А соснули как всегда пользователи WINDOWS 10
Пофиксил

мимо серверо 2008 r2 господин

Интелодети как пидорашки.
Ничего не будет
Да они разберутся.
Да я говна не свежего наверну и будут терпеть
А Я ТО ВСЕГДА ЕГО НАВОРАЧИВАЮ

Поясните, я сосну со своим Atom n270 на основном ПК?
уже 6 лет как планшетобог

>>2224837
ебать нищуку припекло

>>2225062
Какая наглая ПЕРДОПРОПАГАНДА

>>2225081
Если не накатываешь обновления, то ничего не почувствуешь.

>>2224690 (OP)
> выпущенных за последние 10 лет
ахахаха сосать мощнопекодауны
мимо 14 лет процессору

>>2225184
https://www.forbes.com/sites/thomasbrewster/2018/01/03/intel-meltdown-spectre-vulnerabilities-leave-millions-open-to-cyber-attack/#d8b8c0239328

>Which systems are affected by Meltdown?

>Desktop, Laptop, and Cloud computers may be affected by Meltdown. More technically, every Intel processor which implements out-of-order execution is potentially affected, which is effectively every processor since 1995 (except Intel Itanium and Intel Atom before 2013). We successfully tested Meltdown on Intel processor generations released as early as 2011. Currently, we have only verified Meltdown on Intel processors. At the moment, it is unclear whether ARM and AMD processors are also affected by Meltdown.

>Which systems are affected by Spectre?

>Almost every system is affected by Spectre: Desktops, Laptops, Cloud Servers, as well as Smartphones. More specifically, all modern processors capable of keeping many instructions in flight are potentially vulnerable. In particular, we have verified Spectre on Intel, AMD, and ARM processors.

А вот и маняврирования от интел

https://techcrunch.com/2018/01/03/intel-calls-reports-of-major-vulnerability-incorrect/

>>2225090
Почувствует анальной зонд в жопе и биткоин майнер впридачу.

>>2225184
lol

>>2224989
Ничего, просто вырежи патч, пересобери ядро. Всё можно под себя, это же пердоликс!

>>2224904
>20 лет амдпобед
Лол, один их тех случаев, когда спермоблядь пытается пошутить, а в итоге только обоссывает себя. Экстраполируя своё пассивное существование и полное подчинение воле спермогосподина на цивилизованный мир существующий по совершенного другим законам (свободы).
А в этом мире каждый сам решает, что ему нужно, что ненужно. Не беря во внимание то, что изменение можно отключить параметром загрузки ядра (в 2 команды). Существует много разных дистрибутивов команды которых ХУЙ ложили на решения этих "разработчиков ядра" и сделают так как посчитают нужным и/или как желает сообщество которое они представляют.

Долбаебы которые про Майнеры и шифровальщики пишут, вы читать умеете?

>>2225328
А вы?

>>2224690 (OP)
Сегодня апдейт безопасности на 10 выходит, результаты кину итт.

>>2225372
А кстати, прищеблядкам же уже выкатили заплатку, никто еще не тестировал снижение производительности что-ли?

>>2224727
>А сделанное человеком
>2018

Я так понимаю, соснут только те, кто установит обновления, выпущенные после 2018 года ?

>>2225200
>биткоин майнер впридачу.
Браузеропроблемы.

>>2225381
Щас проверим глубину отсоса и будет ли он вообще.

KB4056892?

>>2225385
Да.

>>2224690 (OP)
всё пропало!
поставил пэтч, замерил на сваем ультрабуке:
падение на 7-11%
нас предали!

>>2225387
Без пруфов твой кукарек нам нахуй не нужен.

>>2225385
Вот здесь для всех версий винды, начиная с семерки.

https://www.catalog.update.microsoft.com/Search.aspx?q=2018-01

>>2225387
Как измерить?

>>2225372
Как и ожидалось, синтетика не заметила никакого снижения производительности, а значит вся история не более чем раздутая журнашлюхами и подогретая параноидальными шизойдами хуйня, как обычно.

>>2225400
>Попугаев стало меньше по сравнению с >>2225372

>ТОЛЬКОВЫИГРАЛИ

Лол.

>>2225401
Лол, а на скрине gpu стало больше, в любом случае разница меньше процента, я думаю это рандом, но даже если это действия патча, то ничего страшного.

>>2225403
А над ним смеялись когда он про закладки в процах говорил.

>>2225402
Скорость самой винды не изменилась ? Ну например открытие окон, меню пуск и т.д.

>>2225406
Сейчас бы бояться АНБшных закладок, когда на каждом углу тебя поджидают майнеры и шпионские скрипты от китайцев, питуна и майлру.

>>2225407
>Скорость самой винды не изменилась ? Ну например открытие окон, меню пуск и т.д.
Нет, всё как обычно быстро.

>>2225400
А все и не должно пострадать, проблемы будут с задачами оперируемыми большими массивами.

>>2225409
Главное - верить, да? А как это цифрами проверить, неужели никак?

>>2225410
Погоняй бд и увидишь.

>>2225409
>>2225410
Создай 100,000 однобайтовых файлов, потом прочитай их все по одному.

>>2225415
dd if=/dev/zero of=testfile bs=512 count=5000000
5000000+0 records in
5000000+0 records out
2560000000 bytes (2.6 GB, 2.4 GiB) copied, 2.34906 s, 1.1 GB/s

ПОТЕРЬ НЕТ

dd if=/dev/zero of=testfile bs=512 count=5000000
5000000+0 records in
5000000+0 records out
2560000000 bytes (2.6 GB, 2.4 GiB) copied, 4.91892 s, 520 MB/s

>>2225403
Это Иисус?

>>2225389
А что кочать, если шинда 1703?

>>2225423
Ты sync забыл. Но все равно охуеть.

>>2225426
https://www.linux.org.ru/news/security/2936034
Уязвимости так и не показал, после чего стал несколько неожиданно богат. Не так давно у него в штатах не раскрылся парашют.
https://ru.wikipedia.org/wiki/%D0%9A%D1%80%D0%B8%D1%81_%D0%9A%D0%B0%D1%81%D0%BF%D0%B5%D1%80%D1%81%D0%BA%D0%B8

>>2225428
Ничего, само все скачает когда придет время, барин за тебя порешает.

>>2225423
Пиздец. Мелкософт в первые же дни 2018 года нагло нассали в ротешник наивным гоям.

>>2225433
> Мелкософт
А они тут причем?

>>2225423
dd if=/dev/zero of=testfile bs=512 count=5000000
5000000+0 records in
5000000+0 records out
2560000000 bytes (2.6 GB, 2.4 GiB) copied, 10.2926 s, 249 MB/s

Обновился, блеать.. сколько было до обновления точно не скажу, но тоже где-то в 2 раза падение.

Intel i5-6400 (4) @ 3.300GHz

>>2225442
Можешь аргументом ядра выключить же.

>>2225413
>>2225415
Что именно нужно сделать?

>>2225443
Так и поступлю, само собой.

>>2225444
Любое действие, где много сисколлов.

А какой патч должен быть, если у меня LTSB?

>>2224747
У меня для тебя хуевые новости
Уязвимости подвержены все процессоры с 1995 года.
>Which systems are affected by Meltdown?

> Desktop, Laptop, and Cloud computers may be affected by Meltdown. More technically, every Intel processor which implements out-of-order execution is potentially affected, which is effectively every processor since 1995 (except Intel Itanium and Intel Atom before 2013). We successfully tested Meltdown on Intel processor generations released as early as 2011. Currently, we have only verified Meltdown on Intel processors. At the moment, it is unclear whether ARM and AMD processors are also affected by Meltdown.

https://meltdownattack.com/

>>2225448
>Любое действие
Нассать тебе в рот считается?
Что именно нужно сделать в шиндовс, чтобы на цифрах заметить снижение производительности, как на прыщах? >>2225442
>>2225423

>>2225454
Зачем тебе это если ты дурак?

>>2225454
Если ты не знаешь что делать, то значит тебе это НЕ НУЖНО, за тебя уже майкрософт все сделал, спи спокойно.

>>2225455
>>2225456
Понятно, иксперты хуевы.

>>2225453

>>2225457
Установи себе cygwin и сделай как на прыщах.

Бежать в магазин за райзеном?

Если всем все было известно, то почему тогда именно сейчас в СМИ появилась данная информация. Тем более, если этой ошибке больше 20 лет.

>>2225465
Беги, пусть дяди заработают на акциях амуде побольше с помощью тебя, а магазины на завышении цен.

>>2225466
Хуя ты тупой.

>>2225463
> Короче расходимся не на что смотреть.
>ИМПЛАИНГ виртуальными машинами и эмуляторами ведроида пользуются только хипстеры.

P.S АБУ, ВЕРНИ НОРМАЛЬНУЮ КАПЧУ, УЖЕ ТОШНИТ ОТ ЭТИХ ДОРОЖНЫХ ЗНАКОВ И АВТОМОБИЛЕЙ.

>>2225466
Все очень просто - в конце ноября СЕО интела продает свои акции и сливает инфу, зарабатывает себе деньги на старость и уходит в закат.

>>2225466
Одно дело знать и другое чувствовать, я вот еще когда с 8битных процов переходил на 286 мне эти защищенные режимы казались мутными, всегда подозревал что они дырявые.

>>2225463
Теперь дотка у тебя будет медленнее загружаться.

>>2225469
Да. Назови хоть одно нехипстерское использование виртуальных машинам и эмуляторов.

>>2225475
VPS

>>2225474
За счет каких механизмов?

>>2225475
Ну например тестирование васяносборок десятки или прыщей.

>>2225477
Хипстерство. Еще варианты?

>>2225478
За счет воображения соснувших прыщедебилов, которым костыль выкатили вместо нормального патча, незамедляющего проц, как на винде.

>>2225481
Лол. Хипстерство - это хероку и подобное, да. А ты, так, понимаю, думаешь что все серваки в мире на дедиках?

>>2225475
Денува.

>>2225479
>васяносборок
>и прыщей
>имплаин не хипстерство
Ну ты понял, да?

>>2225487
А ее ломанут, так что только выиграли.

>>2225485
Просто перестанут оверселлить, ну это энивей не домашнее использование.

>>2225489
>ломанут
Последюю уже никогда не ломанут.

>>2224690 (OP)
Ну че посоны, переходим на Амуду? Надеюсь, пидорасов из штеуд взъебут за это в суде.

>>2225494
Там амуду тоже замедляют.

>>2225491
Ну я уже понял, что ты от этого всего далек.

>>2225478
За счет увеличенного времени на IO.

>>2225494
>>2225495

>>2225498
Арм тоже продырявили.

>>2225501
Пруфы

>>2225498
Тем не менее, интел - это и есть Эльбрус. Спросите у Бабаяна.

https://ru.wikipedia.org/wiki/%D0%91%D0%B0%D0%B1%D0%B0%D1%8F%D0%BD,_%D0%91%D0%BE%D1%80%D0%B8%D1%81_%D0%90%D1%80%D1%82%D0%B0%D1%88%D0%B5%D1%81%D0%BE%D0%B2%D0%B8%D1%87

>>2225503
Кто бы его ещё проверил.

>>2225496
Ну ок. И что за протеины ты считаешь на впс? Производительность сайтов низкая опять же из за хипстерских фреймворков. А для каких то бэкендов всегда дедики брали, да.

>>2225508
байкал проверили - дырявый

>>2225503
Security through obscurity

>>2225512
по руззке пиши! ты русской борде, пятая колонна ёбаная

>>2225510
ИМ, 3000+ уников в сутки. Норм.

>>2225515
2 человека в минуту, о какой просадке производительности тут вообще можно говорить.
>>2225514
Извени.

Я тупой. Скажи точно дату когда винда выпустит обновление, чтоб автоапдейт включить?

Это что ж получается-то, из-за данных эксплоитов 99% ноутбуков на базе интел отправляется прямиком на помойку? Хорошо что я не успел себе ноут купить, лол, придётся ризен пекарню теперь собирать.

>>2225539
В ноябре прошлого года уже выпустили.

>>2225539
Ванга в могиле, иди откапывать.

>>2225542
Пиздец, а я наоборот только недавно продал свой некрокомп на атлон x4.

>>2225542
Просядка будет по перформансу, но не помойка. Не нагнетай по-братски, тут уже у всех мандраж.

>>2225553
В том-то и дело, что у ноутов и так перформанс не очень, а с данным эксплоитом, то вообще пизда, можно лишь будет смотреть кинцо и в интернете сидеть, но проще тогда уже планшетик взять.

>>2225577
>планшетик
>арм64

>>2225577
Про майнеры еще забыл, сейчас в каждом втором развлекательном сайте он встроен, взять тот же kinoprofi.org и клоны рутрекера.

>>2225592
А там не важно, на некоторых arm32, думаю, тоже можно воспроизвести уязвимость.

>>2225475
Старый софт

>>2225592
Спектр менее страшен, так что можно не париться за арм.

>>2225600
Ну это уже совсем днище заходить на такие сайты.

>>2225625
>Ну это уже совсем днище заходить на такие сайты.
А что еще делать, если трекеры заблочены питуном, а на ivi.ru нет нужных мне фильмов и сериалов.

>>2225626
> кусать руку которая кормит

>>2225633
Обходить блокировки. Считай это порогом вхождения.

Ну что там у интел?

>>2225626
Обложил. В рассылке писал.

>>2225637
Только выиграли

>>2225643
Кто? мы или они?

>>2225639
> еще раз такая лажа, и я может быть посмотрю в сторону арм, или нет, это неточно

>>2225649
>посмотрю в сторону арм
>арм64 также уязвим, возможно также, что и 32-битный арм тоже
Ну удачи ему там.

>>2225665
На ведре то из-за жита должна по идее вообще быть ебическая потеря производительности.

>>2225669
Словно он до этого был производительным.
Ну ниче-ниче, все равно смартфон раз в год предлагают менять, теперь будем менять каждые полгода.

>>2224882
>kek
Ясно.

>>2225626
вот по любому должен был. хотет узнать это.
Кстати, какую измерялку на лине посоветуете?

>>2225955 Рыночек настольных пк практически не изменится. Вот чего стоит ждать так это дешевых зеончиков на ебае. Вот только это займет еще не меньше года пока интел не пофиксит проблему и пока не наладятся массовые поставки.

>>2225955

хз. амуда подвержена спектру, мелтдаун уже запатчили и падение производительности от патча мелтдауна незначительное. может взлететь только из-за хайпа, но не на объективных причинах

>>2225962
>падение производительности от патча мелтдауна незначительное
Я тольковыиграю или сосну ?
Сервер 2008 r2 (одомашненный), пека используется для старых игорей (максимум 2010-2011 г.) и для фильмов с торрентами.

>>2225955
Райзены подвержены атаке. Пруфы: https://gist.github.com/ErikAugust/724d4a969fb2c6ae1bbd7b2a9e3d4bb6

>>2225955
Дима не разрешает.
https://youtu.be/GgJwglipbqA

>>2225988
>Дима не разрешает.
В госдуре еще что-нибудь запретили за эти 4 дня ?

P.S За спектру конечно же обидно, чувствую, произойдет резкий откат в 2003 год, где весь javascript это редактор разметки на форумах и еще какие-нибудь свистоперделки.

>>2225966
>для фильмов с торрентами.
Насколько я понял после патчей файловые операции таки стали обходится процессору дороже. Но если ты просто качаешь по 1-2 фильма за раз, разницы не заметишь. Вот если у тебя сотни раздач, особенно если в раздаче тысячи мелких файлов, то разница появится.

>>2225967
Вау, уже второй спастил код с Аппендикса A из spectre.pdf.
Я надеюсь, они его за свой не выдают?
Конечно, Райзен подвержен этой атаке, ведь этой атаке подвержено большинство высокопроизводительных процессоров.
А атака эта наз-ся Spectre и не специфична для интела, а вот Meltdown специфична для Интола, но она и реализуется проще.

>>2225992
https://www.kommersant.ru/doc/3513029?tw

>>2225988
Годный обзор, спасибо.

Интересно, как теперь работают игры с анальной защитой типо Denuvo? Там же до фига файловых операций, по идее должно стать намного хуже.

>>2225992
Это не обидно, это замечательно. Разметка должна быть разметкой, а не тьюринг полным языком чтобы рисовать снежинки на НГ

>>2226009
Только этого не будет. Как-то сомнительно, что все крупные сайты возьмут и перейдут на что-то альтернативное. У них же БИЗНЕС.

Я не совсем понял только причем тут javascript и Spectre ?

>>2226013
Что-то вспомнил ранние сайты из нулевых - в низу экрана надпись "рекомендуется просматривать в Internet Explorer 5.5 с разрешением 800x600".

Судя по обзору атака связана с наличием блока предсказывания действий, но я что-то не совсем въехал, чем отличается одна атака от другой ?

>>2226017
>ранние сайты из нулевых
Вот например. Сайт одного крупного мода.

>Сайт оптимизирован под Internet Explorer v.4 и разрешение 1280х1024
http://tamriel.ru/

>>2226017
>Я не совсем понял только причем тут javascript и Spectre ?

>Ошибка Spectre позволяет злонамеренным пользовательским приложениям, работающим на данном компьютере, получить доступ на чтение к произвольным местам компьютерной памяти

Боюсь обосраться, но насколько я понял теперь любой исполняемый код может напрямую читать из памяти. Опасность уязвимости через бразуер в том, что пользователю нужно просто зайти на страницу с кодом, использующим уязвимость.

>>2226017
> Я не совсем понял только причем тут javascript и Spectre ?

>>2226024
> Опасность уязвимости через бразуер в том, что пользователю нужно просто зайти на страницу с кодом, использующим уязвимость.
Запрет скриптов с названиями wasm.js и отключение WebAssemlby, webrtc и прочих зондов никак не поможет ?

>>2226024
>Ошибка Spectre позволяет злонамеренным пользовательским приложениям
Что-то не смог найти внятного объяснения, чем он отличается от того же мелтдауна, который уже пофиксили (к сожалению пользователи хрюши, висты и 2003 сервера соснули).

>>2226028
А откуда инфа, что спермачи не соснули?
> чем он отличается от того же мелтдауна
Смотри spectre.pdf и meltdown.pdf, там всё, что можно знать.
https://meltdownattack.com/meltdown.pdf
https://spectreattack.com/spectre.pdf

>>2226028
>Запрет скриптов с названиями wasm.js и отключение WebAssemlby, webrtc и прочих зондов никак не поможет ?

Должно помочь, но ты практически лишишься интернетов. Зайти в i2p и посмотри, как выглядят и работают тамошние сайты. По сути ты лишишься всего, кроме оформления странички и текстовокартиночного содержимого.

>>2226036
Придётся убить .js как таковой

Зря они слили инфу. Теперь количество хакиров желающих попробовать "взломать" систему начнет расти в геометрической прогрессии, тем более, что код уже слили на гитхабе, а так про это знали бы лишь 1,5 хакира.

>>2226031
>А откуда инфа, что спермачи не соснули?
Видел в каталоге обновлений, правда не уверен оно ли это или нет.

Для того же Wannacry выпустили заплатки даже для XP, которая не поддерживается уже три года.

Объясните, спиздят ли у моей мамаши данные банковских карточек с андроид-планшета?

Не отключаю JS, не обновляю Windows с 13 года и нет никаких проблем.

>>2226036
>отключение WebAssemlby, webrtc
>ты практически лишишься интернетов.

Еблан, в следующий раз хотя бы гугли, когда видишь незнакомые слова.

>>2226048
Зачем Sagaешь, господин Петух?

>>2226046
Кстати, хороший вопрос. Уверен, сейчас наверное под это событие начнут форсить принудительную чипизацию людей и платежи только через чип, мол данные вашей карточки могут быть украдены хакерами, все банкоматы во всем мире уязвимы (да, да, в том же сбербанке в банкоматах стоит обыкновенный неттоп с XP Posready 2009 и оболочкой в автозагрузке).

>>2226046
Такое возможно. Некоторые модели процессоров уязвимы.

>>2226048
Я про джаваскрипт, уёба.

>>2226051
>>2226052
Смотрите полный список
https://developer.arm.com/support/security-update

>>2226054
То, чувство, когда у тебя старый MTK вместо процессора.

>>2226053
Перечитай свой же пост, дебил, потом перечитай мой.

>>2226052
Вообще-то не "некоторые", а почти все.

>>2226051
Да вообще как-то непонятно, то ли паниковать и делать бэкапы, то ли просто расслабиться и получать удовольствие - таки есть подозрение, что уязвимость, которой столько лет, уже давно используется всеми, кто может и хочет ее использовать.

>>2226056
>Перечитай свой же пост, дебил, потом перечитай мой.
Не юли, долбоёб. В посте на который я ответил была речь про отключение джаваскрипта.

>>2226051
Разумеется и чип могут взломать.

Биометрию в России уже сдавать банкам будем, разговоры об отмене наличного расчета - уже ведутся, постановление правительство 2007 года - реализуется, электронные паспорта - вводим, программа детство 2030 - там вообще пиздец.

>>2226058
И смысл этой анонимности, о которой пекутся шизики?
Ставить linux, чистить от зондов браузеры, windows-ы и прочее.

все равно есть ME, через который боярин подглядывает за вами.

>>2226063
Какой анонимности? О чем ты, поехавший?

>>2226063
>все равно есть ME, через который боярин подглядывает за вами.
Ну так это интеложиды и анб могли следить. А теперь любой васян может следить.

>>2226064
Ты долбоёб? Долбоёб. Даже с разметкой обосрался.

>>2226065
Возьми среднестатистического петуха в /s, так вот, этот петух старательно вычищаетсвой компьютер от зондов, забывая о том, что в его ПК встроен один такой прекрасный чип, ME, который сводит все усилия на ноль.

Собственно и усилия по какой либо анонимности, не имееют смысла.

>>2226069
Э? Я тебе скопировал твой пост, дурилка.

>>2226071
Заебись, но нахуя ты мне-то об этом рассказываешь? Я тут при чем?

>>2226063
Есть libreboot же. Только там поддержка есть у небольшого числа материнок. Штук 10 наберётся.

>>2226067
Стоит Abu, воспользоваться уязвимостью и он сможет ко всем дващерам, залезть в попец.
Я то палец в попу засунул, облизнул и что дальше?

У меня то i-5 3337U и это пизда, наверняка сейчас Абу уже залез, хоть и пиздить нечего.
А вот банки? Или СК, МВД и коммерчиские структуры, там же пиздец.

У меня знакомая, в серьезной фирме работает, с компа в ОК, ВК заходит, комп., грамотности не у кого нет.

И да, что то мне подсказывает, что заплатка эта нихуя не поможет.

Кстати, почему никто не вкинул в тред видео с наглядной для домохозяек демонстрацией работы уязвимости?

https://www.youtube.com/watch?v=RbHbFkh6eeE

>>2226079
Там он свой же комп использует ? Или это виртуалка ?

>>2226080
Извини, но ты не очень умный.

>>2226081
Тут я соглашусь с этим агрессивным долбоёбом.

>>2226081
Я не nepдoля, поэтому спросил. Есть что-нибудь на винде ?

Может жопоруки из игростроителей научатся оптимизировать?

>>2226083
>Есть что-нибудь на винде ?
Вирусы, колл оф дьюти, пеинт.

>>2226088
Попробуем по другому. Как простому анону воспроизвести эту уязвимость на винде (той же спермерке) ?

>>2226090
Скачать код из гитхаба. Ссылка в треде была.

>>2226090
Подождать с недельку, не устанавливать никаких обновлений и активно начать лазить по интернету.

>>2226090
Никак, простому анону это ненужно.

>>2226091
Готовых публичных эксплойтов еще нет же.

>>2226096
> https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
Маркетинговый контрол-дамажинговый буллшит какой-то. Одна из уязвимостей специфична для процессоров интел. Все.

https://pastebin.com/raw/CF91uGTG - а вот, говорят, демо для венду

>>2226096
Это уже попахивает мантрами, у вас два кольца безопасности, а у нас 4, а у этих вообще 64!

Помогите найти заплатку на Windows 8.1.
Они ее не выпустили разве?

>>2226110

2018-01 Security Only Quality Update for Windows Embedded 8 Standard for x64-based Systems (KB4056899)

Не оно ли случаем?
Не обновлялся с 14-го года, не хочется весь хлам тащить, вместе с телеметрией.

"Meltdown" is an Intel bug.

"Spectre" is very bad news and affects all modern CPUs. Mitigation is to insert mfence instructions throughout jit generated sandboxed code making it very slow, ugh. Otherwise assume that the entire process with jit generated code is open to reading by that code.

Any system which keeps data from multiple customers (or whatever) in the same process is going to be highly vulnerable.

> As a proof-of-concept, JavaScript code was written that, when run in the Google Chrome browser, allows JavaScript to read private memory from the process in which it runs (cf. Listing 2).

подорожник приложи

chrome://flags/#enable-site-per-process enable
about:config javascript.options.shared_memory false

>>2226118
>As a proof-of-concept, JavaScript code was written that, when run in the Google Chrome browser, allows JavaScript to read private memory from the process in which it runs (cf. Listing 2).

В Firefox 57.0.4 уже запилили патч: https://www.mozilla.org/en-US/firefox/57.0.4/releasenotes/

> Security fixes to address the Meltdown and Spectre timing attacks

Заплатки закрывают уязвимость от Meltdown, но не от Spectre.
Как закрыть от Spectre, они до сих пор не знают.

Ну и смысл ставить эти заплатки?

Вспомнил как смеялся над педерачами с Рен-тв про АНБ-шные закладки в процессорах интел и стало как-то не до смеха.

>>2226122
>В Firefox 57.0.4 уже запилили патч:
Главное, чтобы в 52 завезли.

>>2226122
Ты бы хоть описание патча прочитал. Они снижают точность perfomance.now (в пейпере он и не используется) и дизейблят шаредбуферэррей (в пейпере используется вебворкер с инкрементом в цикле, чтобы мерять время).

Короче говоря, это просто закрывает один способ точно померять время, что необходимо для эксплуатации уязвимости. Это не закрывает саму уязвимость (она в процессорах) и не гарантирует отсутствие других способов точно померять время.

Как я правильно понял, подвержены Intel с 95-го?

https://twitter.com/bascule/status/948705050628534272

Эх, щас бы в пуле залупкоинов помайнить...

>>2226139
Мне похуй, я через имакс могу двачевать хоть с калькулятора но только если у него больше 8 мегабайт памяти, бгг.

Пойти что-ли хромбук на арме заказать или некромакбук на померпс?

>>2226148
Оба подвержены, вроде как

>>2226144
Хотя блядь, ГУГЛОКАПЧА же. Тогда нет, не могу без пасскода.

https://downloadcenter.intel.com/ru/download/27150

Смотрим и радуемся.
Я уязвим, хотя надежда таки на i5-3337U, была.
Ну ноутбук и все дела.

>>2226154
>Хотя блядь, ГУГЛОКАПЧА же
Чем абу старая не понравилась ?

https://twitter.com/Snowden/status/949047283357806593

Сноу ден разморозился.

>>2226164
Это совсем про другую уящвимость, ало

>>2226177
Я скачал утилиту по ссылке, которую мне дал тот анон >>2226156 на пике результат её работы.

Посоны, отбой. Нет падения производительности -- https://www.iphones.ru/iNotes/770397

ЗАПЛАНИРОВАННОЕ УСТАРЕВАНИЕ
З
А
П
Л
А
Н
И
Р
О
В
А
Н
Н
О
Е

У
С
Т
А
Р
Е
В
А
Н
И
Е

>>2226191
Пиздуй нахуй, маркетолог. И без твоего говна хуёво.

>>2226191
-> /b/

>>2226180
Ты бы хоть читал что качаешь, хотя бы дату от какого года эта хуйня.

>>2226191
ХИТРЫЙ ПЛАН ОТКАЗА ОТ 10 ЛЕТ КОСТЫЛЕЙ В АРХИТЕКТУРЕ
@
ПРИНЦИПИАЛЬНО НОВАЯ АРХИТЕКТУРА
@
КАРТЕЛЬНЫЙ СГОВОР

>В ГОСДУМУ ВНЕСЕН ЗАКОНОПРОЕКТ О ПРИНУДИТЕЛЬНОЙ КОНФИСКАЦИИ ВСЕХ КОМПЬЮТЕРОВ (МОБИЛЬНЫХ И НАСТОЛЬНЫ) НА БАЗЕ INTEL И AMD И БЕСПЛАТНОЙ ЗАМЕНЕ ИХ НА ОТЕЧЕСТВЕННЫЕ ЭЛЬБРУСЫ. ДАННАЯ ПРОЦЕДУРА БУДЕТ ОСУЩЕСТВЛЯТЬСЯ В НЕСКОЛЬКО ЭТАПОВ - ДО ИЮЛЯ 2018 БУДУТ КОНФИСКОВАНЫ КОМПЬЮТЕРЫ ЮРИДИЧЕСКИХ ЛИЦ, ПОСЛЕ У ФИЗИЧЕСКИХ ЛИЦ
>Комменты на рт и яплакаль
>Хорошая новость, наконец-то наши что-то путное стали производить
>давно пора, нечего пендосам в моем компьютере ковыряться
>я всегда знал, что этим жыдам из интела не стоит доверять.

>>2226201
Молодец, хорошо придумал.

>>2226202
Учитывая последние ебанутые инициативы и принятые законы уже ничему не удивляешься.

>>2226203
Согласен. Надеюсь до такого ебанутого абсурда не дойдёт. И не должно, ибо потребители сами должны заботиться о своём потреблядстве.

>>2226201
> бесплатной замене
> Россия
Разве что бюджетникам с очередью на 5 лет

>>2226201
За принудительную конфискацию, юридическим и физическим лицам, у которых производится взыскание технических средств, базирующих на процессорах Intel и AMD, придется внести государственную пошлину в размере 10.000 рублей и также уплатить полную стоимость, за процессор отечественного производства.

В виду низкой платежеспособности населения, государство предприняло ряд мер, для более "гладкого" обеспечения населения, техническими средствами отечественного производства.
Глава Сбербанка, Греф, выделил принудительный кредит тем, кто не может оплатить полную стоимость замены комплектации, под процентную ставку в 25% годовых.

>молодцы наши, вот видите пятая колонна, заботятся, кредит нам дали!
>да и без компухтеров проживем. Обязательно покупать? Ну и ладно, главное же НАШ
>за то нужно видеть лицо, обамки обезьянки, наверное отдыхает в своем зоопарке, вот мы их то как, во-во!

>>2226189
>Единственное, что раздражает в последнее время — регулярно подвисающий редактор Быстрого просмотра, который вызывается нажатием пробела при выделенном файле. Процесс QuickLook вешает систему на 10-20 секунд с периодичностью в 3 – 5 минут. Раздражает нереально.
Ах-ах, яблоось заранее замедленная.

>>2226205
Че-то проебался, забыл, что речь идет о россиюшке.
В этой стране даже сдохнуть можно только за деньги (гуглим налог на смерть).

>>2226209
А за провинность и неуплату налога, тебя будут оживлять нано-чипами, как в варкрафте 3 паладин и отправлять на рудники.

>>2226209
Хуйня, это касается только городских рабов, у которых нету сил, желания и мыслей, чтобы выехать и жить на природе.

>>2224690 (OP)
И чем же тогда заменить?

>>2226216

> As a proof-of-concept, JavaScript code was written that, when run in the Google Chrome browser, allows JavaScript to read private memory from the process in which it runs

Где можно увидеть этот код? Прозреваю типичный истеричный булщит безопастностной пидарасни.

Так, поясните, я соснул со своим FX-4170 на пекарне и E2-7110 на ноуте вместо процессора? Все под виндой 10? А то ходит картинка, что красные соснули только со Sprectre 1 и то под линупсом.

>>2226267
Под винду патч давно уже есть. Соснули только пердолики.

>>2225480
https://www.youtube.com/watch?v=GgJwglipbqA

>>2226268
Ну ты же понимаешь, что накатывать патч угондошивающий производительность на 30% на E2 совсем не вариант?
Меня интересует, защищены ли процы амуды бай дизайн.

Атака может быть проведена примерно следующим образом.
Для того, чтобы прочитать бит 0 из защищённой области памяти Ap, атакующий
Очищает кеш для адресов A0u и A1u (из адресного пространства атакующего, доступного для чтения/записи)
Пытается прочитать значение V(Ap) в регистр из защищённой области памяти по адресу Ap
Посредством выполнения побитовой операции над полученным значением V(Ap) получает либо адрес A0u, либо адрес A1u
Читает память по этому адресу
Продолжает исполнение фактическим выполнением операций NOOP
Эта последовательность операций на некоторых архитектурах приводит к ошибке защиты на шаге 2. Однако инструкции 2, 3 и 4 будут выполнены из-за оптимизаций процессора, связанных со спекулятивным выполнением кода. В результате в кеш будет загружено одно из значений: либо значение по адресу A0u, либо значение по адресу A1u. Далее процессор аннулирует все "существенные" результаты выполнения инструкций 2,3,4 (как и должно происходить при ошибке защиты), но состояние кеша остаётся необнулённым. Далее атакующий читает "свои" A0u и A1u, измеряя время доступа к переменным. И на основании этого определяет, какой бит (0 или 1) был прочитан из защищённой области памяти Ap.
Далее, повторяя этот алгоритм для остальных бит значения V(Ap), можно получить всё содержимое защищённой области памяти целиком.

ALL YOUR POSTS ARE BELONG TO US

Интел всё. Надеюсь в следующем поколении уже низкоровнево исправят в железе.
Теперь фанатам интел будет весомая причина на новое поколение перейти лол

>>2226276
>низкоуровнево
фикс

>>2226271
>Меня интересует, защищены ли процы амуды бай дизайн.
Только от кражи кэша проца. от кражи рэндом компьютерной памяти или памяти других программ - нет

>>2226267
соснули все. даже арм
но интел особенно и больше всех

>>2226100
Не специфична. Мелтдаун — Intel & ARM64. Спектра — сосут все, и фиксится с трудом, если вообще придумают хоть что-то.
> Spectre, оказывается, ещё в 1996 году слили, уже через год после релиза i686 (PPro) с этой уязвимостью. А в System/360 оно уже было искоропки с 60ых годов.
> http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.40.5024&rep=rep1&type=pdf
> Так что патчим только ядро на предмет Meltdown и браузеры. Nothing changes.

Но все дружно решили поднасрать интелу. Я так-то не против, пусть конкуренты апнутся, нам лучше только, но давайте хотя бы тут будем честными.
А ОСи тоже ленивые пидорасы, зашевелившиеся только сейчас.

>>2226271
> Ну ты же понимаешь, что накатывать патч угондошивающий производительность на 30% на E2 совсем не вариант?
> патч системы от Microsoft в основном влияет на производительность 32-битной версии системы.

Парни, а с мобилами что, тоже производительности пизда? И вот, например, у меня Atom Z3580 в асусе ze551ml, прошивка - лось последний, где ПОТЧ-то брать?

Какие же школьники тупые.
Ладно, так и быть, объясню тупеньким: на домашние компы это практически не влияет. Ибо вы и так все сидите под одной админской учёткой, любой процесс при желании может заломиться в любой другой процесс и читать оттуда данные.
Апдейт от винды (который за 01.18) по умолчанию ничего не включает, желающие должны сами себе напердолить через реестр. И да, на играх, фильмах, ютубе, ворованном фотошопе и прочем вашем говне разницы в производительности даже с включённым фиксом нет. Она есть на базах данных, виртуализации и работе ёбаной тучи пользователей на одном компе (терминальный сервер например). Всё.

https://www.youtube.com/watch?v=cqsU-u0KmFI

На 1709 10 винды не завезли мне заплатку в центре обновлений, Интел, если что. Что делать? инб4:бочку

>>2226320
Ставить руками кб-шку с сайта мелкософта.
https://support.microsoft.com/en-us/help/4056892/windows-10-update-kb4056892

>>2226079
this_is_fuckin_fake_video

Лиса обновилась, блочит уязвимость на своем уровне. Лично мне этого достаточно, левому говнософту у меня взяться неоткуда.

>>2226134
В теории, хотя я даже такого не читал, скинул бы ссыль, да, но на практике проще иметь дело с профессорами, поддерживающими clflush (это для Spectre типа Flush+Reload), т.е. SSE2, т.е. BBBrescott.

>>2226328
> Лиса обновилась, блочит уязвимость на своем уровне
Проиграл с этого иксперта.

>>2226330
С себя проиграй.

>>2226332
На ESR бы патчик.

>>2226333
Да будет со временем, щас на бетатестерах только погоняют.

>>2226335
Вообще, на ESR, очевидно, меньше context switch'ей и syscall'ов.

>>2226333
Ставь Stable.

Так что, снижение производительности правда или нет?

>>2226340
Правда.

>>2226340
Нет

>>2226341
И как тогда без обновления жить? Блокировать JS постоянно?

>>2226313
А ты не очень умный.

>>2226344
Да

>>2226323
А куда там тыкнуть чтоб скачать

>>2226340
Да.

>>2226344
Нет