теоретически может извлекать

опять наброс очередной.

Только Штеуд?

Про амудэ ничего не писали пока что.

уже надоело

любая система, взаимодействующая с внешним миром, будет уязвима

все эти спектры и мелтдовны — очередная спецоперация по замедлению производительности в попытке продать ещё больше процессоров
как и биткоины всякие

потом вам ещё новые уязвимости обнаружат и скажут что процессоры теперь должны шифровать каждый бит при перекладывании из регистра в регистр, но и это не спасёт
3д кристаллы будут пухнуть и пухнуть в целях вашей безопасности

На сколько % упадет производительность после патчей? В очередной раз.

Вангуют что интел наконец то начнет выкатывать обновы ежеквартально. Вот только производители плат чесаться не станут - вышла и сразу EOL.

Дебилы, эту проблему не на уровне компьютерного железа надо решать.
Для начала не надо хранить пароли в браузерах(в локал сторэдж или куках или встроенном менеджере паролей), в которых возможен заход на произвольную страницу с произвольным яваскриптом.

Для захода в банк должно быть отдельное устройство, на котором точно нельзя выполнять чужой код.
Или для важных вещей заходить на доверенную удалённую машину и через неё производить свои операции.

Я знал

что Напильник был прав практически во всем. Скоро дело и до эфира дойдет.

а вот говорите у нас в стране побыстрому наклацал код и в продакшен. а у штеуда похоже qa нету.

заходить на доверенную удалённую машину и через неё производить свои операции.

заходить же ж тоже с чего-то надо, а там мельдоний...

любая система, взаимодействующая с внешним миром, будет уязвима

только некоторые уж очень уязвимы

а там мельдоний.

Если использовать только проверенные приложения из маркета
и не запускать браузер(и другие программы выполняющие произвольный код, вроде emacs)
то мельдония нет

тогда и доверенная машина не нужна

все эти спектры и мелтдовны — очередная спецоперация по замедлению производительности в попытке продать ещё больше процессоров как и биткоины всякие

И в листы фольги ЦРУ уже давно свои микрочипы вшивает, поэтому и шапочки не работают.

Нужна, там за её безопасностью будут следить специалисты-безопасники. И взломать такую конструкцию будет ещё сложнее.

шапочки пока ещё работают
т.к. по электроэнцефалограмме даже мышь по экрану с трудом двигают
Б-г был неплохим спецом по криптографии работы мозга

ну и что, самое дырявое место - там где юзер/криворукий админ

у меня бизнес-идея как-то родилася, делать бандлы (на rasberry Pi, например) вместо всяких випнетов и прочих банк-клиентов
банк сам впиливает в него свои методы подключения, защиты и авторизации

но вот каким клиентом к бандлу цепляться - хз, браузер, rdp, vnc - всё ненадежно

всё ненадежно

скоро будут квантовые каналы связи
там сразу видно, если кто-то вклинился

Если использовать только проверенные приложения из маркета

Это такой способ угробить индустрию программирования в России?

ARM тоже. Так что наверняка и AMD.

Пока непонятно (мне), работает ли оно между процессами. Похоже, что работает - тогда это хуже Meltdown.

скоро будут квантовые каналы связи
скоро

Я это с середины 2000-х слышу.

не ждём, а готовимся

не ждём, а готовимся

Да-да. Где каналы-то? Я видел только новость про банковский канал, но там по этому каналу передается только ключ. На обычные хосты. В которых Meltdown. Благодаря которому можно стырить ключ.

скоро будут квантовые каналы связи
там сразу видно, если кто-то вклинился

Кто их даст простым смертным? Не, мы будем общасться с Алисой живущей в каждом утюге, хорошо что по нейроинтерфейсу, и Яндекс.Директ прямо в мозг.

На первой же странице статьи:

Allowing execution past conditional branches is the most important performance optimization employed by speculative out-of-order processors

Все предыдущие варианты Meltdown/Spectre тоже относились к процессорам со спекулятивным выполнением.

Короче, берем третью малинку и какой другой «фрукт» на Cortex-A53 и не паримся. Процессоры без спекулятивного выполнения и безопаснее, и экономичнее.

ARM тоже

Только те, что могут out-of-order.

Возможно.

Для начала не надо хранить пароли в браузерах(в локал сторэдж или куках

А разве так бывает?

а вот говорите у нас в стране побыстрому наклацал код и в продакшен

Да вот как раз у нас в стране такое весьма редко встречается. Только работающие на буржуев разве что жгут.

Ну пароли можно хранить нв разного рода смарткартах в связке с тем же keepass например.

А Эльбрус то не подвержен. Шах и мат!

А Эльбрус то не подвержен. Шах и мат!

Какие ваши доказательства?

Буквально вчера с коллегами обсуждали этот вопрос, но к определенным выводам не пришли.

Вальпургиевая ночь Штеуда.

Если он in-order выполнение обеспечивает, то вроде эти тайминг-атаки и выходы за границы не должны на нём работать.

Если он in-order выполнение обеспечивает, то вроде эти тайминг-атаки и выходы за границы не должны на нём работать.

О том и речь. Все эти новые уязвимости - результат непродуманной реализации спекулятивного выполнения, когда плоды отработки несбывшихся веток кода не до конца откатываются взад. И я думаю, а не будет ли теперь так, что правильная реализация спекулятивного выполнения будет просто неподъемной...

Пришёл в толксы, чтобы запилить тред, но увидел этот и решил новый не пилить. Я тут подумал: а можно ли этот ваш UKSM юзать как аналогичное сабжу решето? Ну типа — процесс-зловред генерирует рандомные страницы, «забывает» про них, а через некоторое время по скорости доступа проверяет, есть ли у какого-то другого процесса точно такая же страница памяти, которую уконтрапупил UKSM и поэтому она ещё сидит в кэше рамы?

Скоро будет по 235 уязвимостей в неделю, как во Флеше

Ящик Пандоры открыт.