Názory k článku Útoky na chyby Meltdown a Spectre už existují v reálném světě, našlo se jich přes 100
-
"Drtivá většina vzorků údajně má formu zkompilovaných binárek spustitelných na Windows, MacOS nebo Linuxu, jejichž zneužití by tedy vyžadovalo lokální spuštění tohoto programu nebo jeho vpravení do na první pohled legitimní aplikace. Ovšem AV-TEST uvádí, že už byla nalezena také implementace exploitu chyby Spectre v javascriptu"
Zase kecas jako vzdycky.
Takze doporuceni je nasledujici:
Neinstalovat warez, to znamena nechytit to lokalne a mit aktualizovanej prohlizec, to znamena nechytit to pres javascript, nic vic neni potreba! -
Aznohh (neregistrovaný)
To je komedie tu v diskusi, jak se místní "experti" tváří, že vědí všechno nejlíp. :D :D
Fakt je, že ty patche museli udělat už jen z toho důvodu, že pokud by ty díry nezalepili, tak by zcela jistě bylo jen otázkou času, kdy by je první zákazníci začali žalovat. Protože pokud výrobce ví o bezpečnostní hrozbě a nereaguje na ni, tak by tu hromadnou žalobu téměř jistě prohrál. -
Mě to baví! Exporti Redmarx a Demagogo se předhánějí v tom, kdo vyplodí větší blbost. :-D
Doufám, že tyhle dva exoty nebere nikdo vážně.
BTW, říkal jsem, že exploity budou - jsou tady, ačkoli věřím, že 95% z nich jsou jen "testovací buildy" původního kódu Google.
BTW, říkal jsem, že znalost principu exploitu bude prokázána z více zdrojů než jen od Google - náznaky se už objevují. Ona Security by Oscurity" totiž v podstatě "security" není, zejména ne v případě, že potenciální cíl má miliardy potencionálních obětí. -
Tak tohle bych netvrdil - možná se budeš divit, ale ti, kteří tyto chyby opravdu využívají, je výrobcům/vývojářům nereportují - i když je často prodávají. Takže bych to neviděl tak, že na tu chybu se přišlo až teď, on na ní někdo mohl přijít už dávno předtím, a dokonce jí i zneužít, jen se o tom nevědělo. Přeci jen u takovéto, na zneužití dost náročné chyby se dá předpokládat, že pokud jí někdo zneužil, tak cíleně například na nějakou firmu, atp... a ty většinou ani netuší jak se k nim do sítě útočník dostal...
-
Celý je to divný třeba takový rok 2014 a níž žádný metldown ani spectre se neřešilo žádný záznam že by tohle někdo zneužíval dřív ale teď co je venku 8. Generace tak najednou je to velmi závažná chyba kterou musíme opravit a která zpomalí starší generace ale na téhle poslední generaci zpomalení nepocítíte a co z toho vyplývá? Teď všichni vědí že nějaký metldown a spectre existuje dělají se útoky tak musíme postrašit lidi ať přejdou na dražší a novější procesory protože starý, pomalý a zranitelný nikdo nechce tak si na tom nahrabem :D
-
Jan Olšan (neregistrovaný)
Takže vymyšlená díra z konspirační teorie je problém, ale reálně dokázaná díra, kterou ty záplaty opravují nebo aspoň zmírňují, to je zlo? :)
Pánové, pánové. Zkuste se trochu odpoutat od těch výkonnostních dopadů a kouknout se na to střízlivě. Ano, je to nepříjemnost, ale to není důvod na to reagovat iracionálně a dělat při tom zhodnocení situace a reagování chyby.
Vemte si to takhle: novej software má taky pravidelně větší požadavky, dělá toho víc. Novej OS/desktop na Linuxu taky mívá víc funkcí, služeb a potřebuje víc výkonu. Nový hry mají víc efektů, fyziky, AI výpočtů, taky potřebují víc výkonu. Vývoj všeho softwaru v podstatě snižuje dostupnej výkon na identickém procesoru nebo dalším hardwaru. A tohle není nic moc jiného - nový software posílil bezpečnost za tu cenu, že to stojí nějakej výkon, novější CPU to jednou vykompenzujou. A nejsou to jediné security features, které PC zpomalí.
Tím nechci nějak kázat, ale IMHO je rozumnější to prostě přijmout. Někdy v životě prostře přijdou nepříjemnosti a člověk nemůže mít všechno. A jako ztovna nějaký jednociferný procento výkonu dolů na desktopu/notebooku... člověk může v životě potkat o dost horší věci. -
Jan Olšan (neregistrovaný)
No ono to platí asi i o těch antivirech - dokud není ta zranitelnost zveřejněná/popsaná a vydaný ten PoC kód, tak je asi taky nižší šance, že se na to přijde, pokud by se to někde zneužívalo. Vzhledem k tomu, že je to o čtení dat, tak to na napadeném systému nezanechá stopy.
-
"Doporučení plynoucí z těchto zpráv je takové ... To znamená v prvé řadě opravy operačního systému proti chybě Meltdown na procesorech Intel, která má zřejmě nejnebezpečnější dopad a nejsnazší zneužití ... ideálně také aktualizace mikrokódu procesoru"
Neni to pravda, beznemu domacimu uzivateli nic nehrozi a nepotrebuje aktualizovat ani OS proti Melte ani mikrokod proti Spektre. -
gogo1963 (neregistrovaný)
co se tohohle týče, já to neřeším osobně, windows záplaty se aktualizují automaticky, bios jsem flashnul hned, jak byl nový a nepoznám rozdíl ... jen mě nesedí něklik věcí ... původně se psalo o nějakém náhodném čtení dat "bit after bit" z cache CPU při nějakém spekulativním výkonu, teď už je k tomu potřeba vpravit do compu "škodlivý kód", co se bude psát zítra? Pokud někdo chytne nákazu, jsou jednodušší metody, jak obrat oběť o data, peníze, než přes kód číst data z CPU nebo RAM ...
-
Tak si to hoši nějak dejte dohromady je v tom určitě nějaký fígl stejně jako Microsoft když otravoval s desítkami nuceným upgrade jelikož přece desítky jsou nejnovější a bezpečnější jak Windows 7 a nedivil bych se kdyby udělali něco se sedmičkami prostřednictvím aktualizací však znáte tyhle velké Firmy a jejich praktiky nutit lidi utrácet za nejnovější věci jako třeba nedávno Apple a jeho zpomalování kvůli stáří baterie.
-
NE.
Je to jinak, programy si muzu vybrat jake chci instalovat, nemusim mit nove verze, je to moje rozhodnuti.
Blaznostvi v pripade Spektry a Melty je v tom, ze je tam jednoznacnej vliv na vykon a uzivatelum nebylo umozneno si v pripade Windows 10 vybrat vubec a v pripade Windows 7 pouze za cenu, ze prestanou aktualizovat OS i na ostatni bezpecnostni chyby.
Takze neni divu, ze tady vznika nejake podezreni na zamer. At daji lidem moznost volby klidne s tim, ze v defaultu se to bude instalovat, ale jinak je to svinarna, kdyz navic vime, jak ty chyby nejsou zdaleka pro kazdeho uzivatele nijak nebezpecne. -
Simi (neregistrovaný)
Osobně vidím problém v tom, že ta chyba je sice reálná a velice nebezpečná, ale hlavně pro virtuální stroje, protože boří dříve neproniknutelné hranice.
Pro domácího uživatele to moc velký efekt nemá, protože když bude nějaký hacker chtít, tak najde jednodušší cestu např. tyto díry mi přijdou v současnosti pro domácího uživatele mnohem nebezpečnější, ale tady se řeší nějaké byť populární tak obskurdnosti:
https://www.root.cz/zpravicky/flash-ma-nezaplatovanou-diru-ktera-je-uz-aktivne-zneuzivana/
https://www.root.cz/zpravicky/firefox-56-57-a-58-zranitelny-instalujte-58-0-1/
Představa a prezentace, že Meltdown/Spectre jsou největší hrozby pro domácího uživatele je IMO mnohokrát nebezpečnější, než ty chyby samotné :-) -
Jan Olšan (neregistrovaný)
Ta oprava jen v kernelu (Linux, Windows asi to samé) není plnohodnotná, ne ve smyslu že by učinila tu ochranu přes ty opravy mikrokódu (oni to nejsou opravy, jen to exponuje určité nové funkce) zbytečnou. Obecně by měla bezpečnost být vyšší s těmi aktualizovanými mikrokódy a na ně navázanými softwarovými opatřeními.
Retpoline Linuxu a tahle čistě softwarová opatření mají zabránit tomu, aby se aplikace dostala přes Spectre 2 (Branch Target Injection) do paměti jádra. Ale na Skylake a snad i Broadwellu to údajně není stoprocentně účinné řešení, tam jsou asi ty aktualizace mikrokódu důležitější než jinde. Jinak taky tyhle čistě softwarové opravy chrání jenom kernel, ne další aplikace v uživatelském prostoru, pokud vím. -
Simi (neregistrovaný)
Tak v tom, že se tady vyžívají v tom mediálním poprasku s tebou souhlasím(a o slohovém útvaru zpráva taky neslyšeli:-), ale v příspěvku, na který jsem reagoval cituješ něco úplně jiného a to něco co dává smysl, je odzrojováno a není to obvyklá zdejší vata. A za to napíšeš, že autor kecá. To fakt nedávalo smysl.
-
Rád se tě (bez ironie) zeptám, o fous výš v diskuzi se biješ za to, jak jsou záplaty zbytečné, že vlastně nic nehrozí, ale přitom to co je za opravy dostupné tak jsi použil, není to trochu rozpor? (Btw: mám též opravu, podařilo se ji nainstalovat windowsům na cca 18 pokus a též nepozoruji žádný pokles výkonu až na jednu "drobnost". Dříve jsem v klidu zálohoval data na NAS a při tom hrál hru bez toho, abych pozoroval úbytek výkonu, nyní to samé až na to, že když se zálohování nebo přesun dat dokončí, dojde ke znatelnému vteřinovému lagu a poklesu fps ze cca 120 na 60, tj. je to znát v minimálních fps)
Návody a tipy
23. 10. 2024
| online
31. 7. 2024
| online
6. 7. 2024
| online
ČLÁNKY DO MAILU