アカウント名:
パスワード:
数万円分格下のCPUを掴まされたようなもんじゃん
研究とか、業務であってもだが、必要性能を満足する、なるべく安いもの(スペックすれすれ)を購入するのだから、性能劣化はホント致命的。
上で引用しているExtremeTechの抜粋記事では目立たないけど、 本家Phoronixサイトの報告 [phoronix.com]を見ると、ソケット処理速度とが半分になったり(Stress-NG)、SysVメッセージ速度が1/4になったり(Stress-NG)、コンテキストスイッチ性能が1/6になったり(Stress-NG、ctx_clock)で、Intelズタボロじゃねーか。
SKUで1、2グレード下がるどころの話じゃねーぞ。
多くの場合はパッチ当てなきゃいいだけでしょ。この問題はまず任意のコードが実行できる必要があるわけで、そうなった時点で大抵の場合すでに陥落してる。マルチユーザ環境が一番危険だけど、それでいて「スペックすれすれ」のシチュエーションが全く思い浮かばない。青ざめてる人って具体的にどこのだれでしょうか。それあなたの想像上の人ですよね。
「別の経路で侵入された時点で終わりだから、他のパッチは適用しなくても構わない」なんて屁理屈が通じると思っているなんて、いつの時代の人ですか?少なくとも最前線にいないことは判りますけど。
インターネットとのブリッジPCを概ね排除した閉域網のLGWAN内だって原則パッチを充てているんですよ。閉域網へのパッチ配信のために総務省が配信サーバーを立てたくらいです。WannaCryやHeartBleedみたいなのやCISCOルータの脆弱性が目立つようになったなどして、将来どんな経路が危険になってもおかしくない、というリスクが顕在化した。だから、マルチチャンネル攻撃のパッチも「原則として適用しなくてはならない」んです。丁寧に言い直すならば、以前はともかく、自治体・企業共に、今は原則適用という認識に意識が高まった、というべきか(Windowsのパッチのマンスリーロールアップ化がだめ押しになった感はある)。
あなたには想像すらできないでしょうけど、更新プログラムを適用しなくて許される環境なんて、今やデータダイオードで守っている環境くらいなものです(それかI/Fを完全に塞いだエアギャップ環境か。データダイオードすら知らない?ならググれ)。それ以外は、CSIRT・上役から手厳しく「更新プログラムの適用を終えるのはいつか」とフォローされるのが、今の時代の常です。適用延期の猶予はもらえるでしょう。悪用が顕在化してない場合には、それはよくあること。でも、延期してもらえるだけです。いずれはパッチを適用しなければなりません。今回、CVE-2019-0863のみが悪用確認済みなので、更新プログラム適用は必須でも、MDS緩和策をオフにすることは当面は許されるでしょう。でも、いつオンにするかを計画することになります。
政府・自治体・企業、色んな部門の担当者が、性能劣化で処理が追い付かなくなったときはどうしよう、という悩みを抱えているはずですよ。主に予定外の予算を確保することになった場合について。システム保守契約にパッチ適用・調査を含めるのは普通だけど、パッチの競合解消や性能劣化改善までは保守の内数になりませんからね。
まともなCSIRTなら、脆弱性の評価を被害の大きさと攻撃難易度で評価しているはずだけど、Spectre/Meltdown ってめちゃめちゃ攻撃難易度高くないか(リスクは低い)
脆弱性の評価に「システムの重要性」が欠けてますよ。重要性の低いシステムしか扱ってないんですね。
「被害の大きさ」が大きいシステムを扱ったことのない人に言われてもね。
そういいたいのはやまやまだが、最近はVMで動かしているからな。。「個々のリスクは大したことないよ」とは言えない。。
筋が通ってる理屈に反論できないからって屁理屈って言い返す人、ほんと感情で生きてるよね。「最前線にいないことは判りますけど」とか「あなたには想像すらできないでしょうけど」とか恥ずかしいにも程があるんだけども。
ようはあなたは、脆弱性情報が出て、パッチがでたものを指示通りに当てるだけの簡単なお仕事でしょ。
具体的な情報1つもなしに、筋通しているつもりならお笑い種。どちらもお互い様。貴方も同じ。
鑑みるに、重要なシステムをまかされる企業、SEでシステム全体のパフォーマンス設計する人など一握りなのも事実だし、どちらも企業機密・秘匿義務等の範囲だから曖昧な物言いになるのもしかたないのでしょう。
そういえば、nimさんってモデ付くの異様に早いですね。複垢っすか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
交換しろ (スコア:1)
数万円分格下のCPUを掴まされたようなもんじゃん
Re: (スコア:3, 参考になる)
研究とか、業務であってもだが、必要性能を満足する、なるべく安いもの(スペックすれすれ)を購入するのだから、性能劣化はホント致命的。
上で引用しているExtremeTechの抜粋記事では目立たないけど、 本家Phoronixサイトの報告 [phoronix.com]を見ると、ソケット処理速度とが半分になったり(Stress-NG)、SysVメッセージ速度が1/4になったり(Stress-NG)、コンテキストスイッチ性能が1/6になったり(Stress-NG、ctx_clock)で、Intelズタボロじゃねーか。
SKUで1、2グレード下がるどころの話じゃねーぞ。
Re: (スコア:0)
多くの場合はパッチ当てなきゃいいだけでしょ。
この問題はまず任意のコードが実行できる必要があるわけで、そうなった時点で大抵の場合すでに陥落してる。
マルチユーザ環境が一番危険だけど、それでいて「スペックすれすれ」のシチュエーションが全く思い浮かばない。
青ざめてる人って具体的にどこのだれでしょうか。
それあなたの想像上の人ですよね。
今は閉域網接続システムでさえパッチを適用する時代 (スコア:0)
「別の経路で侵入された時点で終わりだから、他のパッチは適用しなくても構わない」なんて屁理屈が通じると思っているなんて、いつの時代の人ですか?少なくとも最前線にいないことは判りますけど。
インターネットとのブリッジPCを概ね排除した閉域網のLGWAN内だって原則パッチを充てているんですよ。閉域網へのパッチ配信のために総務省が配信サーバーを立てたくらいです。WannaCryやHeartBleedみたいなのやCISCOルータの脆弱性が目立つようになったなどして、将来どんな経路が危険になってもおかしくない、というリスクが顕在化した。だから、マルチチャンネル攻撃のパッチも「原則として適用しなくてはならない」んです。丁寧に言い直すならば、以前はともかく、自治体・企業共に、今は原則適用という認識に意識が高まった、というべきか(Windowsのパッチのマンスリーロールアップ化がだめ押しになった感はある)。
あなたには想像すらできないでしょうけど、更新プログラムを適用しなくて許される環境なんて、今やデータダイオードで守っている環境くらいなものです(それかI/Fを完全に塞いだエアギャップ環境か。データダイオードすら知らない?ならググれ)。
それ以外は、CSIRT・上役から手厳しく「更新プログラムの適用を終えるのはいつか」とフォローされるのが、今の時代の常です。適用延期の猶予はもらえるでしょう。悪用が顕在化してない場合には、それはよくあること。でも、延期してもらえるだけです。いずれはパッチを適用しなければなりません。今回、CVE-2019-0863のみが悪用確認済みなので、更新プログラム適用は必須でも、MDS緩和策をオフにすることは当面は許されるでしょう。でも、いつオンにするかを計画することになります。
政府・自治体・企業、色んな部門の担当者が、性能劣化で処理が追い付かなくなったときはどうしよう、という悩みを抱えているはずですよ。主に予定外の予算を確保することになった場合について。システム保守契約にパッチ適用・調査を含めるのは普通だけど、パッチの競合解消や性能劣化改善までは保守の内数になりませんからね。
Re:今は閉域網接続システムでさえパッチを適用する時代 (スコア:1)
まともなCSIRTなら、脆弱性の評価を被害の大きさと攻撃難易度で評価しているはずだけど、
Spectre/Meltdown ってめちゃめちゃ攻撃難易度高くないか(リスクは低い)
Re: (スコア:0)
脆弱性の評価に「システムの重要性」が欠けてますよ。
重要性の低いシステムしか扱ってないんですね。
Re: (スコア:0)
「被害の大きさ」が大きいシステムを扱ったことのない人に言われてもね。
Re: (スコア:0)
そういいたいのはやまやまだが、最近はVMで動かしているからな。。
「個々のリスクは大したことないよ」とは言えない。。
Re: (スコア:0)
筋が通ってる理屈に反論できないからって屁理屈って言い返す人、ほんと感情で生きてるよね。
「最前線にいないことは判りますけど」とか「あなたには想像すらできないでしょうけど」とか恥ずかしいにも程があるんだけども。
ようはあなたは、脆弱性情報が出て、パッチがでたものを指示通りに当てるだけの簡単なお仕事でしょ。
Re: (スコア:0)
具体的な情報1つもなしに、筋通しているつもりならお笑い種。どちらもお互い様。貴方も同じ。
鑑みるに、重要なシステムをまかされる企業、SEでシステム全体のパフォーマンス設計する人など一握りなのも事実だし、どちらも企業機密・秘匿義務等の範囲だから曖昧な物言いになるのもしかたないのでしょう。
そういえば、nimさんってモデ付くの異様に早いですね。複垢っすか?