Názory k článku
Linus se vyslovil proti záplatě, která vyprazdňuje L1d při každém přepnutí kontextu

Ani sa nečudujem.

Po skúsenosti so SESES

Google Engineer Shows "SESES" For Mitigating LVI + Side-Channel Attacks - Code Runs ~7% Original Speed
21 March 2020
While performing at just ~22% the original performance is already a brutal hit, an LLVM mitigation proposed by a Google engineer in working to avoid LVI and other side-channel vulnerabilities in one of her tests saw just ~7% the original performance based on the geometric mean. That LLVM work with the even more dramatic hit is the Speculative Execution Side Effect Suppression (SESES) and was started for mitigating Load Value Injection but expanded to address other side-channel vulnerabilities like Spectre V1/V4 and others. It offers extra safeguards beyond just LVI mitigation, but in Google's own BoringSSL test (their fork of OpenSSL), the performance came in to a 7% geometric mean of the original performance (not a 7% hit, merely 7% the original performance).
https://www.phoronix.com/scan.php?page=news_item&px=LLVM-SESES-Mitigating-LVI-More

A toto je v podstate iba odľahčená verzia SESES. Na úsepšený útok treba urobiť dva kroky. SESES znemožňuje jedenu časť a vyprázňovanie L1D znemožňuje druhú, ale s výnimkou použitia SMT/HT.

Ani sa nedivím,... samotná záplata je "spomal všetky Intely, aj tie čo netrpia zranitelnosťou ale nerieš bezpečnosť non Intel CPU ktoré touto chybou trpia" takže myslím že fakt ten kód je viac na škodu než úžitok. Vo vätšine situácií z toho nie je žiadny prínos ale len degradácia výkonu.

Není to tak, že v prostředí AWS je takové chování menší zlo? Zpomalíš sice všechny, ale za (diskutovatelnou) cenu bezpečnosti. Na Amazonu pak je, aby nastavil cenu za svoje služby takové, aby i po takovém výkonovém propadu byl AWS zajímavý pro zákazníky. ... Pro (nejen) jejich use case mi to smysl dává a dovedu si představit jejich zákazníky, kteří dají přednost tomuto řešení před rizikem.

8. 6. 2020, 15:05 editováno autorem komentáře

Z pohledu zákazníka to může být šumák. Chce určitý výkon a ten mu AWS musí poskytnout. Pokud ho zničí nějakým opatřením, tak trh si vyžádá, aby to kompenzovali na ceně. (Nebo jim taky utečou zákazníci).

Chtěl jsem tím říct, že i pro takto podivné opatření může existovat legitimní use case.

Na druhou stranu to možná znamená, že jim útoky dělají takové problémy, že raději podstoupí i tento zoufalý krok. A dalších se to netýká jen proto, že jsou menší nebo méně lákavý cíl.