アカウント名:
パスワード:
デスクトップLinuxだとmitigations=off勧めちゃう人をぼちぼち見かけるので、あんまり脅威だと思ってない人が多いのかなと思います。クラウドだと同じCPUを借りてる人が攻撃してくる可能性が排除できないので有効にしておきたいところですが、古典的なウイルスに比べて悪用の可能性は低いと言われればそんな気もします。
しかしHVCI必須化で緩和策関連を捨てられることが理由だとすると、AMD CPUでHVCIに必要なMBECに対応しているのはZen 2以降、型番で言えばRyzen 3000以上(GPUなし)または4000G以上なところ、公式発表では一貫してMBECを搭載しないところのRyzen 2000(Zen+)以上を許容すると言ってしまってるので手遅れ感がありますね。
# Ryzenは型番と世代の数字が一致してないトラップがあるのだ
不特定多数でリソース共有をしているようなサービス以外ではめだって脅威にならんからね。
それなんてWebブラウザ?
ブラウザは、高精度タイマー関係の命令を使えなくしたりして対策したので、対策後のブラウザはあまり影響うけないのでは?
タイマーの変更はWebブラウザは攻撃者として見ると攻撃力下がって実用上安全な感じにはなってるね。
被攻撃者としての防御力を見るとretpolineでいいのかな?ブラウザは全部緩和策入れてるんだと思うけど、それだけだと他アプリの攻撃力は下がってないから、ブラウザデータが大事だってんならやっぱりOSレベルの緩和策入れるとか、マシンに野良コード入りそうなアプリは入れないとかカバーしたほうがいい気がする。
# 余談だが銀行のWebサイトをずっと開きっぱなしの人は、残高は読まれるかもしれんが有効なセッション情報あたりを読まれることはかえってまれになると思う
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
切ってる人ぼちぼち増えてる (スコア:2)
デスクトップLinuxだとmitigations=off勧めちゃう人をぼちぼち見かけるので、あんまり脅威だと思ってない人が多いのかなと思います。クラウドだと同じCPUを借りてる人が攻撃してくる可能性が排除できないので有効にしておきたいところですが、古典的なウイルスに比べて悪用の可能性は低いと言われればそんな気もします。
しかしHVCI必須化で緩和策関連を捨てられることが理由だとすると、AMD CPUでHVCIに必要なMBECに対応しているのはZen 2以降、型番で言えばRyzen 3000以上(GPUなし)または4000G以上なところ、公式発表では一貫してMBECを搭載しないところのRyzen 2000(Zen+)以上を許容すると言ってしまってるので手遅れ感がありますね。
# Ryzenは型番と世代の数字が一致してないトラップがあるのだ
Re:とんちゃもん (スコア:0)
不特定多数でリソース共有をしているようなサービス以外ではめだって脅威にならんからね。
Re: (スコア:0)
それなんてWebブラウザ?
Re: (スコア:1)
ブラウザは、高精度タイマー関係の命令を使えなくしたりして対策したので、
対策後のブラウザはあまり影響うけないのでは?
Re:とんちゃもん (スコア:0)
タイマーの変更はWebブラウザは攻撃者として見ると攻撃力下がって実用上安全な感じにはなってるね。
被攻撃者としての防御力を見るとretpolineでいいのかな?ブラウザは全部緩和策入れてるんだと思うけど、
それだけだと他アプリの攻撃力は下がってないから、ブラウザデータが大事だってんならやっぱり
OSレベルの緩和策入れるとか、マシンに野良コード入りそうなアプリは入れないとかカバーしたほうがいい気がする。
# 余談だが銀行のWebサイトをずっと開きっぱなしの人は、残高は読まれるかもしれんが有効なセッション情報あたりを読まれることはかえってまれになると思う