アカウント名:
パスワード:
デスクトップLinuxだとmitigations=off勧めちゃう人をぼちぼち見かけるので、あんまり脅威だと思ってない人が多いのかなと思います。クラウドだと同じCPUを借りてる人が攻撃してくる可能性が排除できないので有効にしておきたいところですが、古典的なウイルスに比べて悪用の可能性は低いと言われればそんな気もします。
しかしHVCI必須化で緩和策関連を捨てられることが理由だとすると、AMD CPUでHVCIに必要なMBECに対応しているのはZen 2以降、型番で言えばRyzen 3000以上(GPUなし)または4000G以上なところ、公式発表では一貫してMBECを搭載しないところのRyzen 2000(Zen+)以上を許容すると言ってしまってるので手遅れ感がありますね。
# Ryzenは型番と世代の数字が一致してないトラップがあるのだ
不特定多数でリソース共有をしているようなサービス以外ではめだって脅威にならんからね。
それなんてWebブラウザ?
何言ってんの?まじで何言ってんの?
ブラウザで動くPoCありますよ。
こういうバカが湧くのを見てると、本当に適切な脅威分析をした上で切っているのか不安になってくるな
SpectreおよびMeltdown脆弱性をブラウザで悪用できることは、既に証明されていいます。
一般人はよく使うサイトのタブを開きっぱなしにすることが多いです。Google・Yahoo!・Facebookは勿論、銀行や証券会社のタブも開きっぱなしにしているかもしれません。
他のタブで悪意のあるサイトを開くと、WebAssemblyやJavaScript経由で、別Originのログイントークンなどが盗まれる恐れがあります。
JavaSciptのタイマーの精度を下げるといったブラウザ側で緩和策がとられている場合がありますが、あくまでも攻撃しにくくするための対策であって根本的な対処で
理論上可能
であっても実用性皆無というのが今の判定ですわな
セキュリティ対策はコストとリスクの費用対効果っていつになったら理解されるんだろうことこんぴゅーたせきゅりてぃについてはゼロリスク信者が多すぎる
Spectreの脆弱性対策を無効にすることで、パフォーマンスが2~3割ぐらい向上するかもしれませんが、3割のパフォーマンスのために、そこまで危険を晒す必要があるのですか?
仮に今コストとリスクの費用対効果で、パフォーマンス2~3割アップのためにOSのSpectre対策を無効化した方が得だったとしても、その評価が将来的に変わるかもしれないわけで、標準と違う設定を行う場合はそのリスク評価の情報を常にアップデートする必要があるんですが、その情報収集に掛かる時間のコストは?
それと、標準外の設定をするとテストする人が少ないために不具合に遭遇する確率が高くなります。(これはかなしいことに「セキュリティ向上のためにWindowsで標準で有効になっているサービスを無効にする」とか「レジストリを編集する」とかもなども将来のアップデートで問題が生じる可能性があるというのが現実ですが)
天秤はどちらにでも傾き得るわけで、利益がない前提を置いて詰めるのは悪手かと。例えば性能さえ出ればいいXbox 360のCPUにはL1キャッシュのコヒーレンシをソフト側で担保する前提の命令があって、再現可能究明不能の動作を起こすので使われないことが多かったとかなんとか……
たった3割のパフォーマンス低下とか糞なセキュリティソフトを強いる無能情シスや、まともなロジックも考えられずクソース量産する低能プログラマがよく言うんだが、8時間稼働できるノートPCが6時間も持たなくなるって結構大きな問題だぞ。
確かにPCの処理性能では有り余る時代になったが無駄遣いが許されるリソースじゃない。
Meltdownは致命的だけどSpectreは単独では攻撃が成立しない。完璧にSpectreを避けるにはキャッシュメモリーを廃止しないといけない。ここらへんを追求するメリットが理解できない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
切ってる人ぼちぼち増えてる (スコア:2)
デスクトップLinuxだとmitigations=off勧めちゃう人をぼちぼち見かけるので、あんまり脅威だと思ってない人が多いのかなと思います。クラウドだと同じCPUを借りてる人が攻撃してくる可能性が排除できないので有効にしておきたいところですが、古典的なウイルスに比べて悪用の可能性は低いと言われればそんな気もします。
しかしHVCI必須化で緩和策関連を捨てられることが理由だとすると、AMD CPUでHVCIに必要なMBECに対応しているのはZen 2以降、型番で言えばRyzen 3000以上(GPUなし)または4000G以上なところ、公式発表では一貫してMBECを搭載しないところのRyzen 2000(Zen+)以上を許容すると言ってしまってるので手遅れ感がありますね。
# Ryzenは型番と世代の数字が一致してないトラップがあるのだ
Re:とんちゃもん (スコア:0)
不特定多数でリソース共有をしているようなサービス以外ではめだって脅威にならんからね。
Re: (スコア:0)
それなんてWebブラウザ?
Re: (スコア:0)
何言ってんの?まじで何言ってんの?
Re: (スコア:2)
ブラウザで動くPoCありますよ。
Re: (スコア:0)
こういうバカが湧くのを見てると、本当に適切な脅威分析をした上で切っているのか不安になってくるな
ブラウザは一般人の場合、最も脅威なんですが (スコア:5, 参考になる)
SpectreおよびMeltdown脆弱性をブラウザで悪用できることは、既に証明されていいます。
一般人はよく使うサイトのタブを開きっぱなしにすることが多いです。
Google・Yahoo!・Facebookは勿論、銀行や証券会社のタブも開きっぱなしにしているかもしれません。
他のタブで悪意のあるサイトを開くと、WebAssemblyやJavaScript経由で、別Originのログイントークンなどが盗まれる恐れがあります。
JavaSciptのタイマーの精度を下げるといったブラウザ側で緩和策がとられている場合がありますが、あくまでも攻撃しにくくするための対策であって根本的な対処で
Re: (スコア:1)
理論上可能
であっても実用性皆無というのが今の判定ですわな
セキュリティ対策はコストとリスクの費用対効果っていつになったら理解されるんだろう
ことこんぴゅーたせきゅりてぃについてはゼロリスク信者が多すぎる
Re:ブラウザは一般人の場合、最も脅威なんですが (スコア:0)
Spectreの脆弱性対策を無効にすることで、パフォーマンスが2~3割ぐらい向上するかもしれませんが、
3割のパフォーマンスのために、そこまで危険を晒す必要があるのですか?
仮に今コストとリスクの費用対効果で、パフォーマンス2~3割アップのためにOSのSpectre対策を無効化した方が得だったとしても、
その評価が将来的に変わるかもしれないわけで、標準と違う設定を行う場合はそのリスク評価の情報を常にアップデートする必要があるんですが、
その情報収集に掛かる時間のコストは?
それと、標準外の設定をするとテストする人が少ないために不具合に遭遇する確率が高くなります。
(これはかなしいことに「セキュリティ向上のためにWindowsで標準で有効になっているサービスを無効にする」とか「レジストリを編集する」とかもなども将来のアップデートで問題が生じる可能性があるというのが現実ですが)
Re:ブラウザは一般人の場合、最も脅威なんですが (スコア:2)
天秤はどちらにでも傾き得るわけで、利益がない前提を置いて詰めるのは悪手かと。例えば性能さえ出ればいいXbox 360のCPUにはL1キャッシュのコヒーレンシをソフト側で担保する前提の命令があって、再現可能究明不能の動作を起こすので使われないことが多かったとかなんとか……
Re: (スコア:0)
たった3割のパフォーマンス低下とか糞なセキュリティソフトを強いる無能情シスや、まともなロジックも考えられずクソース量産する低能プログラマがよく言うんだが、8時間稼働できるノートPCが6時間も持たなくなるって結構大きな問題だぞ。
確かにPCの処理性能では有り余る時代になったが無駄遣いが許されるリソースじゃない。
Re: (スコア:0)
Meltdownは致命的だけどSpectreは単独では攻撃が成立しない。
完璧にSpectreを避けるにはキャッシュメモリーを廃止しないといけない。
ここらへんを追求するメリットが理解できない。