パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Windows 11のCPU要件設定はSpectreやMeltdown対策をOS側でしたくないから?」記事へのコメント

  • デスクトップLinuxだとmitigations=off勧めちゃう人をぼちぼち見かけるので、あんまり脅威だと思ってない人が多いのかなと思います。クラウドだと同じCPUを借りてる人が攻撃してくる可能性が排除できないので有効にしておきたいところですが、古典的なウイルスに比べて悪用の可能性は低いと言われればそんな気もします。

    しかしHVCI必須化で緩和策関連を捨てられることが理由だとすると、AMD CPUでHVCIに必要なMBECに対応しているのはZen 2以降、型番で言えばRyzen 3000以上(GPUなし)または4000G以上なところ、公式発表では一貫してMBECを搭載しないところのRyzen 2000(Zen+)以上を許容すると言ってしまってるので手遅れ感がありますね。

    # Ryzenは型番と世代の数字が一致してないトラップがあるのだ

    • by Anonymous Coward

      不特定多数でリソース共有をしているようなサービス以外ではめだって脅威にならんからね。

      • by Anonymous Coward

        それなんてWebブラウザ?

        • by Anonymous Coward

          何言ってんの?まじで何言ってんの?

          • ブラウザで動くPoCありますよ。

            • by Anonymous Coward on 2021年07月08日 19時48分 (#4066737)

              こういうバカが湧くのを見てると、本当に適切な脅威分析をした上で切っているのか不安になってくるな

              親コメント
              • by Anonymous Coward on 2021年07月08日 20時08分 (#4066755)

                SpectreおよびMeltdown脆弱性をブラウザで悪用できることは、既に証明されていいます。

                一般人はよく使うサイトのタブを開きっぱなしにすることが多いです。
                Google・Yahoo!・Facebookは勿論、銀行や証券会社のタブも開きっぱなしにしているかもしれません。

                他のタブで悪意のあるサイトを開くと、WebAssemblyやJavaScript経由で、別Originのログイントークンなどが盗まれる恐れがあります。

                JavaSciptのタイマーの精度を下げるといったブラウザ側で緩和策がとられている場合がありますが、あくまでも攻撃しにくくするための対策であって根本的な対処ではありません。
                タブごとにプロセスを分離することは根本的な対策では? と思うかもしれませんが、それはOSレベルでSpectreおよびMeltdown脆弱性に対応していた場合のみですし、OSでSpectreおよびMeltdownに対応するというのも根本的な対策ではなく緩和策にすぎないのです。

                CPUの脆弱性なのですから、CPUで対応するのが最良であり、それ以外はパフォーマンスの大幅な低下といった問題も発生します。

                親コメント
              • CPUで対応しても大して速くないんではないかと。こう、なんともコメントしにくい……

                親コメント
              • by Anonymous Coward on 2021年07月08日 22時40分 (#4066838)

                理論上可能

                であっても実用性皆無というのが今の判定ですわな

                セキュリティ対策はコストとリスクの費用対効果っていつになったら理解されるんだろう
                ことこんぴゅーたせきゅりてぃについてはゼロリスク信者が多すぎる

                親コメント
              • by Anonymous Coward

                Spectreの脆弱性対策を無効にすることで、パフォーマンスが2~3割ぐらい向上するかもしれませんが、
                3割のパフォーマンスのために、そこまで危険を晒す必要があるのですか?

                仮に今コストとリスクの費用対効果で、パフォーマンス2~3割アップのためにOSのSpectre対策を無効化した方が得だったとしても、
                その評価が将来的に変わるかもしれないわけで、標準と違う設定を行う場合はそのリスク評価の情報を常にアップデートする必要があるんですが、
                その情報収集に掛かる時間のコストは?

                それと、標準外の設定をするとテストする人が少ないために不具合に遭遇する確率が高くなります。
                (これはかなしいことに「セキュリティ向上のためにWindowsで標準で有効になっているサービスを無効にする」とか「レジストリを編集する」とかもなども将来のアップデートで問題が生じる可能性があるというのが現実ですが)

              • 天秤はどちらにでも傾き得るわけで、利益がない前提を置いて詰めるのは悪手かと。例えば性能さえ出ればいいXbox 360のCPUにはL1キャッシュのコヒーレンシをソフト側で担保する前提の命令があって、再現可能究明不能の動作を起こすので使われないことが多かったとかなんとか……

                親コメント
              • Spectre/Meltdownのリスクが低いからとCPUパフォーマンスのためにセキュリティ対策を無効にするって、
                狂犬病リスクと犬が予防接種で体調崩すリスクを計算して狂犬病予防接種を受けない人と同じようなもの。
                他の人の対策にただ乗りしているだけで社会にとって迷惑な存在なんですよ。
                何故、Spectre/Meltdownの攻撃があまり行われていないかというと、OS側でのパッチ、ブラウザでの緩和策等等で攻撃が成功する確率が下がってきていて他の攻撃をやった方が経済的に得だからです。

                貴方より賢いMicrosoftやLinuxディストリ開発者が、何故デフォルトでSpectre/Meltdownのパッチを有効化するのかを考えてくださいね。

              • by Anonymous Coward

                >何故、Spectre/Meltdownの攻撃があまり行われていないかというと、OS側でのパッチ、ブラウザでの緩和策等等で攻撃が成功する確率が下がってきていて他の攻撃をやった方が経済的に得だからです。

                ×あまり行われていない
                ○行われたことが一度も観測されていない

                ゼロ対策状態ですら、最初から利用条件が厳しすぎて誰も見向きしてないんですよw
                他に有用な穴なんかいくらでもあるんですから。

              • by Anonymous Coward on 2021年07月09日 11時44分 (#4067144)

                「確かに穴だけど悪用するにはハードルが高すぎるので現実的な脅威ではないのでは」
                と言われていたものに比較的容易に実行可能な方法が発見されたり、実際に利用されたりといった例もけっこうある世界でその認識は甘すぎます。

                親コメント
              • by Anonymous Coward

                あつものにこりてなますをふく

                世界中のPCにほぼ100%存在しているのに、もう3年も必死にボテ繰り回して何にも出てこない実害も無い脆弱性を頑張って対策続けて下さい!

              • by Anonymous Coward

                そうだよ。
                今のコンピュータの安全性は「これは本当になますなのか」と疑い続ける人のおかげで守られている面もある。

              • by Anonymous Coward

                発見されてから対策すればいいのでは?
                ~かもしれないで対策必要なのなら、VMなんて使えないし、もっといえばマルチタスクOSだって危ない。ネットワークに繋ぐのもダメですね。

              • by Anonymous Coward

                たった3割のパフォーマンス低下とか糞なセキュリティソフトを強いる無能情シスや、まともなロジックも考えられずクソース量産する低能プログラマがよく言うんだが、8時間稼働できるノートPCが6時間も持たなくなるって結構大きな問題だぞ。

                確かにPCの処理性能では有り余る時代になったが無駄遣いが許されるリソースじゃない。

              • by Anonymous Coward

                Meltdownは致命的だけどSpectreは単独では攻撃が成立しない。
                完璧にSpectreを避けるにはキャッシュメモリーを廃止しないといけない。
                ここらへんを追求するメリットが理解できない。

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...