Názory k článku
Záplata proti MDS/ZombieLoad má větší vliv na výkon než tvrdil Intel

Tak na desktopu mi už běží Ryzen a v budoucnosti, až budu inovovat notebooky, tak volba je už delší dobu jasná. Nicméně fakt, že bude člověk muset asi ještě pár let vydržet s omezeným mobilním výkonem, který se stále více omezuje (aniž by člověk byl jist 100% bezpečností), to celkem nepotěší :-/

Ryzen beží takmer rok už aj u mňa (2700) a notebook mám zatiaľ s Intelom (4005U), má niečo cez 4 roky tak ešte vydrží, dokonca baterka je stále na 72%, takže sme na tom rovnako.

Mno, nevím, ale na desktopu jsou tyto zranitelnosti prakticky neexploitovatelné. Pokud se útočníkovi podaří do Vašeho desktopu dostat kód, proč by se proboha babral s tím, aby exploitoval tyto slabiny? V tu chvíli má poměrně pestrou paletu technik, jak dosáhnout cíle. To samé platí i pro firemní servery.

Pokud je někde potřeba přemýšlet nad záplatováním, tak zejména na serverech, kde beží VPS více různých zákazníků, nebo pod správou různých osob. Tam může být "zajímavé" podívat se do dat, které mi nepatří.

Většina těchto side-channel útoků je teoreticky exploitovatelná i Javascriptem z prohlížeče, u některých jsou dokonce i praktické příklady (Spectre, Meltdown; obojí pokud vím v mainstream prohlížečích omezeno umělým snížením přesnosti timerů v JS).

Existuje moře způsobů, jak k Vám doručit zdánlivě bezpečný kód ("běží to ve VM, tak se mi nic nemůže stát").

Nicméně po Spectre a Meltdown zareagovali výrobci prohlížečů snížením přesnosti časování v Javascriptu ( https://hackaday.com/2018/01/06/lowering-javascript-timer-resolution-thwarts-meltdown-and-spectre/ )

Neměl by tedy být Javascriptový útok již téměř neproveditelný?

Zajímavé řešení... a co RIDL ?

Mimochodem nebylo by možné si vytvořit vlastní časovač, který se nakalibruje na základě testu hw uživatele? Případně opravit/rekali­brovat ten knihovní?

Překvapuje to vůbec někoho? V tomhle je Intel velmi konzistentní a předvídatelný.

Ano, ale...

...ještě bych raději počkal, až otestuje i někdo, echm, spolehlivější než zaujatý Intel a chaotický Phoronix.

V čom je Michael Larabel chaotický?

To už tu bylo tolikrát...

Často neví, co přesně měří, není schopen interpretovat výsledky, nezvládá statistiku, Často někam plácne default a není schopen v diskusi okomentovat, co to znamená pro rozdíl. Kus testů je totálně mimo (test bcache bez času na naplnění cache).

Když to srovnám třebas s anandtechem...
A nejhorší je, že je nepoučitelný. Místo aby iteroval a zlepšoval, tak generuje už leta ten samý šum.

17. 5. 2019, 13:51 editováno autorem komentáře

Tie veci čo opisujete tam nie sú.

Dodal bych, že celkově považuji Phoronix za velmi povrchní... a většina kritiky co jsem viděl s tím dost souvisí. (Posledních pár let jsem tedy tak moc nečetl, ale nečekám že se výrazně změnil od doby kdy jsem ho měl předplacený.)

Nedávno jsme testovali výkon našich programů na Intel Xeon E5 2620 V4 a po zapnutí všech záplat na spectre a meltdown v nejnovějším kernelu jsem byl na cca 50% toho co zvládnul ten systém po jejich vynuceném vypnutí, jestli tohle zase ještě snižuje výkon tak ať jde Intel fakt někam.

Strašně mě překvapuje že to vlastně nikdo nikde neřeší, neexistují nějaké zajímavé benchmarky ani srovnání jednotlivých záplat a jejich vliv na různé typy zátěže různých programů na různých generacích. Obzvláště v serverovém světě je tohle fakt neskutečený step back.