Цитата: Стекловата от 05.01.2018 16:56:38Не знаю, куда писать, напишу сюда.
Цитата: Стекловата от 05.01.2018 16:56:38В связи с эти ужасными проблемами безопасности в процессорах интел, объясните простому пользователю.
1. Я правильно понимаю, что эта дырка может позволить воровать пароли при их вводе? Соответственно, двойная аутентификация (подтверждение через телефон, например), проблему если не снимает, то не делает такой критической?
Цитата: Стекловата от 05.01.2018 16:56:382. Есть программки для хранения логинов-паролей, которые автозаполняют соответствующие поля - эта уязвимость их тоже касается, в смысле, скрипт сам напечатал логин и пароль, и взломщик все равно это увидит?
3. Punto Switcher - для неважный сайтов у меня есть один пароль, длинный, я в Punto Switcher настроил себе правило автозамены, скажем, печатаю prl, нажимаю TAB, и программка заменяет это на parolPAROL123. Просто экономит время. Эту замену также можно перехватить?
Цитата: Стекловата от 05.01.2018 16:56:384. Кроме перехвата паролей, эта уязвимость обычному пользователю еще чем-то грозит?
Цитата: rommel.lst от 05.01.2018 17:26:00Тут вообще есть сомнения в том, случайно ли возникла эта уязвимость, или кто-то заранее её заказал встроить.
Цитата: rommel.lst от 05.01.2018 17:26:00Дело не только в паролях. Эта уязвимость позволяет одной программе влезть в область памяти, выделенную для другой, ОБХОДЯ все механизмы изоляции процессов, встроенные в ОС. Пароли - это только самый злой пример. Вирусный код может шарить по серверам как у себя дома, копаясь в транзитных данных.
А на личных компах и телефонах могут храниться номера банковских карт и пароли к ним.. Вирус найдёт прогу-кошелек, или тот же андроид-пэй, или эппл-пэй, постоянно висящий в виде службы, залезает в её память, и все ваше уже не только ваше.
Многоступенчатая аутентификация усложнит жизнь злоумышленникам, но если у вас и телефон уязвим и заражен (а они как раз писали об ARM), то может и тут быть перехват..
Тут вообще есть сомнения в том, случайно ли возникла эта уязвимость, или кто-то заранее её заказал встроить.
Цитата: stranger1234 от 05.01.2018 17:37:56общнизвестном факте всем, окромя мине.... ап чем речь
Цитата: Senya от 05.01.2018 17:34:40Можно расценить как хохму, но я ещё в 1995-97 (примерно) читал статью, что из интересов производительности все механизмы защиты в процессорах и бытовых операционных системах ограничатся полумерами.
Цитата: stranger1234 от 05.01.2018 17:43:04таки спрошу тоже а причем здесь интересы производительности и мехханизмы защиты....
Цитата: Senya от 05.01.2018 17:50:09При переключениях между задачами (а также вызовах функций операционной системы) в защищённых режимах аппаратно переключаются таблицы памяти. Чем надёжнее защита (включая очистку неиспользуемых областей), тем больше накладные расходы на переключение и меньше производительность. В данном случае налетели на неочистку кэша процессора. Не совсем то, но из той же оперы.
Цитата: Senya от 05.01.2018 17:39:11https://glav.su/forum/2/153/messages/4696879/#message4696879
Цитата: Senya от 05.01.2018 17:34:40Можно расценить как хохму, но я ещё в 1995-97 (примерно) читал статью, что из интересов производительности все механизмы защиты в процессорах и бытовых операционных системах ограничатся полумерами.
Цитата: stranger1234 от 05.01.2018 17:53:03а тут оказыывается почти не смертельно
Цитата: Senya от 05.01.2018 17:56:08Я тоже так думаю. Больше шума, чем непосредственных угроз. Пока даже не "проблема 2000"(с)
Цитата: пОМиДор от 05.01.2018 18:32:00Вообще-то Meltdown просто убивает облака и виртуальный хостинг.
Кот же знает, чем сосед про процессору занимается
Цитата: пОМиДор от 05.01.2018 18:32:00Вообще-то Meltdown просто убивает облака и виртуальный хостинг.
Кот же знает, чем сосед про процессору занимается
Цитата: пОМиДор от 05.01.2018 19:08:07Отвечал в другом посте - оригинал уязвимости здесь https://spectreattack.com/.
С описанием и видео.
Только на английском.
Ничего не мешает открыть 5-10 виртуалок у хостера и за месяц-два нарыть конфиденциальную информацию.
Которая окупит еще 50-100 виртуалок и т.д.
Решение проблемы есть - ужу выпущено для всех систем.
Но, понравится ли падение производительности Вашего сайта, почты и т.д. процентов на 20-30?
Или Вы согласны переехать на более мощное железо и заплатить провайдеру на 20-30% больше?
Эти баги еще минимум полгода будут аукаться.
Цитата: rommel.lst от 05.01.2018 19:19:31Сидеть на тормозах придётся многим, у кого лишних 15-20к на новую мамку с процом нет.
Цитата: slavae от 05.01.2018 20:57:24https://geektimes.ru/post/297029/
Цитата: Senya от 05.01.2018 21:48:49Двумя-тремя словами - side-channel attack, отточенная за десятилетие на различных архитектурах и платформах, добралась наконец и до внутренностей процессоров (а не только смарт-карт).
Цитата: stranger1234 от 06.01.2018 02:39:10Короче буря в стакане...
Цитата: rinth от 06.01.2018 13:10:51На интелях крутят софт банки, облака и всевозможная куча сервисов, которые могут напрямую повлиять на жизнь любого человека, даже если он живёт в деревне и не пользуется всей этой фигнёй. Добавьте к этой уязвимости в проце "профессионализм" современных программистов и сами-знаете-какое отношение к безопасности во многих "бизнесах" и компаниях и усё...