| |
| |
| 3.30, имя (?), 18:41, 12/02/2019 [^] [^^] [^^^] [ответить]
| +24 +/– |
я бы вообще запретил машинные инструкции. с их помощью чего только творят
| | |
| |
| 4.57, pavlinux (ok), 14:34, 13/02/2019 [^] [^^] [^^^] [ответить]
| +9 +/– |
 Касперский уже выпустил обновление - Kaspersky Security cо встроенным
фаерволом машинных инструкций. Предоставляется два режима работы: Smart и Manual.
В режиме Manual каждая машинная инструкция подтверждается пользователем.
| | |
| |
| 5.77, кашперский (?), 13:08, 15/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
а в режиме auto каждая машинная инструкция не выполняется, но из динамика раздается хрюкот свнсбк.
(в корпоративной версии не выполняется только примерно каждая пятая инструкция)
| | |
|
|
|
|
| 1.2, Qwerty (??), 15:35, 12/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –9 +/– |
Опять же, имеются ли подтверждённые случаи массового использования этой (и аналогичных) уязвимостей? Шапочку-то из фольги надевать?
| | |
| |
| 2.3, A.Stahl (ok), 15:41, 12/02/2019 [^] [^^] [^^^] [ответить]
| +26 +/– |
 Нормальные параноики давно уже не используют шапочки из фольги. Это выглядит нелепо как показ мод. Нормальные параноики делают подкладку из фольги к традиционным головным уборам.
| | |
| |
| 3.18, КЭП (?), 16:43, 12/02/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Я скажу больше в современных пуховиках на подкладке так же делают такую же подкладку. Видимо кто то, что то, знает.
| | |
|
| 2.5, Ivan_83 (ok), 15:44, 12/02/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Уром деньги - вечером стулья.
Через пол года, не раньше. Хотя в массы может и не дойдёт, останется у спецслужб.
| | |
| 2.6, Аноним (6), 15:46, 12/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Учитывая, что в данном случае эффективная шапочка представляет собой простое выключение sgx - её можно было бы надеть и раньше. И совершенно не зря
| | |
| |
| 3.8, нах (?), 15:49, 12/02/2019 [^] [^^] [^^^] [ответить]
| +6 +/– |
чаво один человек выключил - другой завсегда обратно включить может.
| | |
| |
| 4.19, Andrey Mitrofanov (?), 16:44, 12/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> чаво один человек выключил - другой завсегда* обратно включить может.
[*] Супермен и Столман могут восстанавливать пережигаемые перемычки в процессорах Штеуд. АНБ пока только пытается. [I]" Кац только ранен. "
| | |
|
| 3.11, Stax (ok), 16:07, 12/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Эээ, что? Каким образом *отключение* SGX сделает что-то безопаснее? Наоборот, судя по новости - лишитесь обычно работающего механизма защиты, который теоретически, при некоторых обстоятельствах, возможно, кто-то сможет сломать. В случае взлома вы лишаетесь защиты SGX в данном анклаве, т.е. для этого приложения это и будет эквивалентно тому, как если бы SGX не было или он был выключен.
Ваш совет эквивалентен "ой, нашли очередную дырку в TLS (из соседней новости)! Какой ужас, какая дыра, всем вырубать TLS, ходить только по plaintext протоколам, такая дыра же!"
Другое дело, что, к сожалению, практического использования SGX в обычном софте все равно не было. Технология так и осталась в основном в фантазиях Intel. Так что тут - что включай, что выключай, все одно..
| | |
| |
| 4.16, Аноним84701 (ok), 16:34, 12/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Наоборот, судя по новости - лишитесь обычно работающего механизма защиты,
DRM означает "Defender (of the) Right(s) Mechanism"?
И "защиты от аппаратных атак, таких как подключение к модулю DRAM" нужно на самом деле против злобных хакеров, незаметно взломавших дверь/окно и подключивших свой жучок к модулю DRAM?
Вот оно как! Воистину -- "век живи, век учись, все равно дураком помрешь"
| | |
| |
| |
| 6.27, нах (?), 17:46, 12/02/2019 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Причем тут вообще DRM?
это кому-то пытаются намекнуть, что не все, на чем написано "защщщита" защищает тебя - иногда оно может вместо этого защищать интересы чужого дяди, потому что он первым встал в твои тапки.
| | |
| 6.28, Аноним84701 (ok), 18:07, 12/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
>>> Наоборот, судя по новости - лишитесь обычно работающего механизма защиты,
>> DRM означает "Defender (of the) Right(s) Mechanism"?
> Причем тут вообще DRM?
При том, что слабо верится, будто аппаратная защита (контроллер памяти в сабже так же фильтрует DMA-запросы периферии, если мне не совсем изменяет память) поможет _действительно_ защититься от "недобросовестного" хостера/облако-провайдера, вне вакуумно-сферических сценариев (это помимо того, что в домашних условиях оно нафиг не сдалось).
А вот защитить "ценный контент индустрии" от простого пользователя -- в самый раз.
Спасибки, но лично мне из "новшеств" последних 10 лет и IntelME вместе с UEFI-сикур-бутом как-то за глаза хватает.
| | |
| 6.66, Kuromi (ok), 00:55, 14/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Притом что посмотрите новость про взлом Widewine - там было про то, что взломали самую слабую его вариацую, которая НЕ требует наличия в процессоре SGX и подобных ему технологий.
Когда Интелл только добавил SGX в процессоры было много красивых слов про заищиту приватности пользователя, борьбу с хакерами, а свелось все к помощи в реализации DRM. Так что никому кроме правообладателей оно не нужно, не гвооря уж о тмо что сипользование SGX вроде как требует платной лицензии от Intel
| | |
|
| 5.61, Аноним (61), 16:20, 13/02/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Зачем хакер. Персонал сайта может подключиться к любым модулям DRAM на любом сервере.
| | |
| |
| 6.65, Аноним84701 (ok), 22:21, 13/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Зачем хакер. Персонал сайта может подключиться к любым модулям DRAM на любом сервере.
А персонал ресторана может подсыпать яд в солонку -- поэтому нужно срочно сделать все (в том числи и домашние) солонки с дозатором, односторонник клапаном, кодово-биометрическим замком и опломбированным устройством учета пользователей и обслуживающего персонала (кто, когда, сколько миллиграм, в какое блюдо, какой рукой) со сроком хранения данных не менее 10 лет.
А еще, персонал ресторана может просто плюнуть в тарелку …
(если что -- персонал сайта с таким доступом может сделать бяку еще целой кучей более простых методов).
| | |
| |
| 7.67, Stax (ok), 01:44, 14/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
>> Зачем хакер. Персонал сайта может подключиться к любым модулям DRAM на любом сервере.
> А персонал ресторана может подсыпать яд в солонку -- поэтому нужно срочно
> сделать все (в том числи и домашние) солонки с дозатором, односторонник
> клапаном, кодово-биометрическим замком и опломбированным устройством учета пользователей
> и обслуживающего персонала (кто, когда, сколько миллиграм, в какое блюдо, какой
> рукой) со сроком хранения данных не менее 10 лет.
Есть решение проще: ходить в случайный макдак, что успешно делает Трамп. И никто не отравит.
| | |
| |
| 8.78, пох (?), 13:10, 15/02/2019 [^] [^^] [^^^] [ответить] | +/– | дружище, ты когда-нибудь был в _американском_ макдаке если тебя там никто не от... текст свёрнут, показать | | |
| |
| 9.80, Stax (ok), 13:52, 15/02/2019 [^] [^^] [^^^] [ответить] | +/– | Так он даже в рекламе макдака снимался https www businessinsider com donald... текст свёрнут, показать | | |
|
|
|
|
|
| 4.34, Ivan_83 (ok), 19:45, 12/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да не нужен это SGX, это всё для DRMщиков делали, как и TPM типа в проце, следующим шагом добавят в браузеры и плееры поддержку и будет платный просмотр с привязкой к железу.
| | |
| |
| |
| 6.39, Stax (ok), 23:43, 12/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Вообще-то в браузерах поддержка уже есть. В релизных версиях.
Где, что??
Набираю "firefox sgx" в гугле, ничего осмысленного не находится. Т.е. эксперименты были - например тут https://acmccs.github.io/papers/p2405-frassettoA.pdf ребята завернули SpiderMonkey в JIT, но подобный код не вошел даже в dev ветки, не говоря уж о релизах.
| | |
|
|
| 4.43, Аноним (6), 00:14, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Отключая SGX, мы не отключаем "защиту в анклаве", а анклав вообще, не давая возможность всякому непотребству себя скрывать. Вообще, я не считаю, что он нужен в каких-то еще областях, кроме drm и прочих попыток пролезть поглубже на железо пользователя
| | |
| |
| 5.48, Stax (ok), 02:04, 13/02/2019 [^] [^^] [^^^] [ответить] | +/– | Я тоже так думал, но в процессе обсуждения погугил и нашел несколько документов ... большой текст свёрнут, показать | | |
|
|
| 3.75, анон (?), 12:37, 14/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
просто не покупай процы с поддержкой TSX-NI, она далеко не у каждого есть.
и выключать ничего не придется.
| | |
|
| 2.7, нах (?), 15:47, 12/02/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Опять же, имеются ли подтверждённые случаи массового использования этой (и аналогичных)
> уязвимостей?
дык, опять же - те кто тебя попользуют, не расскажут. А готового к копипастингу в свой эксплойт кода - нет, пока не пробегало.
А что технология стремная и плохих ее применений просчитывается больше, чем хороших - это любому, кроме дефективного менеджера интела и так было понятно с самого начала :-(
> Шапочку-то из фольги надевать?
надевай, но пока можешь однослойную - в виду малораспространенности камней, поддерживающих sgx, пока мало риска нарваться на универсальный эксплойт, автовыкачиваемый sshным червяком на ходу, скорее - на целевую атаку именно на твой локалхост, если там есть что взять.
А как будут такие камни у каждого васяна - тут уже фольга не поможет, кастрюлю надо. Ручки только не забудь отпилить - а то будешь выглядеть как дурак.
| | |
| |
| 3.9, Crazy Alex (ok), 15:57, 12/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Не сказал бы, что скайлейков мало, впрочем, один хрен до виндузятников раньше долетит, там и посмотрим, что за шапочки нужны.
| | |
| |
| |
| 5.17, Аноним (17), 16:40, 12/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
А если эта софтина окажется возможной на JS ? То можно и не заметить, как в браузер залетит.
| | |
| |
| 6.25, нах (?), 17:43, 12/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
о том и речь - велики шансы, что ТЫ эту софтину и не увидишь. Зато она тебя увидит.
| | |
| |
| 7.32, Лень_регацца (?), 18:57, 12/02/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
Если долго (не)смотреть на софтину то однажды софтина может посмотреть на тебя.
(с) мудрец Плюнь В Куй. Древний Кетай, 100500й век до нашей эры.
| | |
|
|
| 5.33, Crazy Alex (ok), 19:19, 12/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Я - не видел, но я вообще крайне консервативен в выборе софта. А вот какой-нибудь DRM может и использовать.
| | |
|
|
|
| 2.36, Аноним (36), 20:55, 12/02/2019 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> закрытые области памяти - анклавы, содержимое которых не может быть прочитано и изменено даже ядром и кодом, выполняемым в режимах ring0, SMM и VMM.
так что вы не узнаете имеют вас или нет. спасибо intel и drm.
| | |
|
| |
| |
| 3.37, YetAnotherOnanym (ok), 21:12, 12/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > нет потоков
Вот и хорошо. Когда тебе продают проц АМД и говорят, что там 4 ядра - значит там 4 ядра, а не 2, которые притворяются четырьмя.
| | |
| |
| 4.45, Stax (ok), 00:30, 13/02/2019 [^] [^^] [^^^] [ответить]
| +7 +/– |
>> нет потоков
> Вот и хорошо. Когда тебе продают проц АМД и говорят, что там
> 4 ядра - значит там 4 ядра, а не 2, которые
> притворяются четырьмя.
Да?..
То-то купив APU A10-7800 за $200 (пишу по памяти, может чуть другая модель была, но один из старших Kaveri) с 4 заявленными ядрами и увидев производительность при загрузке всех 4 на уровне где-то 2.5 - 3 ядер, покопался и узнал, что на самом деле там всего два полноценных "вычислительных модуля" и почти все блоки, кроме базового целочисленного (т.е. FPU, SSE, AVX, ну и MMX заодно) существуют только в одном экземпляре для каждой пары ядер. Вот такие вот дутые ядра. И это еще мне повезло, в предыдущих Bulldozer и Piledriver даже декодер инструкций был общий на каждые два ядра. Т.е. вот это https://en.wikipedia.org/wiki/File:AMD_Bulldozer_block_diagram_(CPU_core_bloac гордо называлось "парой ядер" и в (якобы) 4-х ядерном процессоре только два таких блока.
Вы знаете какого-либо другого производителя x86 процессоров, который так же мухлевал с ядрами?
На AMD даже в суд за это подавали, между прочим: https://www.extremetech.com/extreme/217672-analysis-amd-lawsuit-over-false-bul
| | |
| |
| 5.46, Аноним (46), 00:36, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ну фиг знает, что у вас то по производительности, но подход и правда хитрый. Другой вопрос, что много ли у вас в стандартном коде ОСи задействован fpu? (и тогда вопрос - на кой?)
| | |
| |
| 6.47, Stax (ok), 00:41, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Ну фиг знает, что у вас то по производительности, но подход и
> правда хитрый. Другой вопрос, что много ли у вас в стандартном
> коде ОСи задействован fpu? (и тогда вопрос - на кой?)
Поправил пост. Там не только FPU, но и SSE и AVX тоже общие! И целочисленный MMX. Все общее, кроме базового целочисленного модуля - хоть этот они поставили свой на каждое ядро. Если бы не сделали даже этого, оставались только бы раздельные регистры и это бы назвалось HT или SMT :) Но AMD называла это полноценными "ядрами".
А что касается "много ли где используются инструкции"... Тут ситуация такая, что обычно там, где не используются ни FPU, ни SSE, ни MMX, ни AVX производительность обычно-то и не нужна. Но замечу что даже memcpy() в glibc давно уже переписан на AVX, а при его отсутствии будет стараться брать SSE-версию. Даже куски памяти перемещать намного эффективнее блоками по 256 бит (или хотя бы по 128), чем по 64. Ну и вся криптография и распространенные хэш-функции (в т.ч. даже такие базовые вещи, как CRC32 - нужен, между прочим, очень много где даже в ядре) быстрее с этими инструкциями. Про мультимедию даже не заикаюсь.
На голом ALU быстро работать будут разве что вещи типа раздачи веб-контента. И то, memcpy/memmove/memset на AVX или SSE не помешают даже им. Вот эти функции https://github.molgen.mpg.de/git-mirror/glibc/tree/master/sysdeps/x86_64/multi с использованием SIMD в 2-3 раза быстрее, чем на ALU..
Кстати, по последним новостям (долго, однако, такие дела в суде идут, 4 года прошло) это дело таки признают, т.к. возражения AMD отвергли, и им придется серьезно заплатить за свои фейковые ядра: https://www.theregister.co.uk/2019/01/22/judge_green_lights_amd_core_lawsuit/
| | |
| 6.79, пох (?), 13:14, 15/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Ну фиг знает, что у вас то по производительности, но подход и правда хитрый. Другой вопрос, что
> много ли у вас в стандартном коде ОСи задействован fpu?
много. Я в отличие от вас помню времена, когда эмуляцию еще можно было выключить (а железный в моей 386 ни разу предусмотрен не был). Ну я был молодой и глупый, а вы уже можете просто подумать головой и угадать, что именно у вас произошло бы если бы по сей день так можно было сделать, без необходимости в натурном эксперименте?
> (и тогда вопрос - на кой?)
подумайте, если есть, чем ;-)
| | |
|
| |
| 6.59, pavlinux (ok), 14:53, 13/02/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Ты ARM от AMD вообще отличаешь?
Лошок, расскажи подробно отличия работы функции strncasecmp() на ARM и AMD?
| | |
|
| 5.58, pavlinux (ok), 14:39, 13/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Вы знаете какого-либо другого производителя x86 процессоров, который так же мухлевал с ядрами?
Все ARM big.LITTLE
| | |
| |
| 6.60, Stax (ok), 14:57, 13/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Вы знаете какого-либо другого производителя x86 процессоров, который так же мухлевал с ядрами?
> Qualcomm, у всех ведь смарты 8-ядерные? :D
Но я про x86... *Вне* x86 такое бывало. Например в тех же Niagara (UltraSPARC T1) у 8 ядер было 8 целочисленных блоков и один FPU. Но там во-первых производитель про это явно заявлял и не предлагал брать во все задачи, а только в те, где FPU был не особенно нужен (веб-серверы, серверы БД, ERP, CRM - традиционно в серверах БД и финансовой сфере не используют FPU-вычисления с погрешностью, а считают на больших целых). А во-вторых, на SPARC FPU это всего лишь FPU, а тут AMD в общий блок с FPU поставила все SIMD, в т.ч. целочисленные типа MMX. А они на x86 очень важны. И возможностью перемалывать 128-и и 256-и битные операции за раз, и дополнительными регистрами, которых в x86 вечно не хватает.
| | |
| |
| 7.62, pavlinux (ok), 20:27, 13/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Например в тех же
IBM Cell BE, одно ядро Power отрезано под внутренние нужды.
| | |
|
|
|
|
|
| 2.20, eganru (?), 16:48, 12/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
новость не об архитектуре, как таковой.
суть в том, что intel сделала по мне так ненужную вещь, наличие которой может привести к огроменным проблемам и тратам.
наверняка в каком-нибудь из обновлений микрокода вот это вот все можно будет отключить.
| | |
| |
| 3.24, Stax (ok), 17:31, 12/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
> новость не об архитектуре, как таковой.
> суть в том, что intel сделала по мне так ненужную вещь, наличие
> которой может привести к огроменным проблемам и тратам.
> наверняка в каком-нибудь из обновлений микрокода вот это вот все можно будет
> отключить.
Да и так можно отключить в биосе обычно. Во всех видел опцию "Intel SGX: Enabled/Disabled/Software Controlled"
Кроме того, инструкции SGX и так практически полностью реализованы в микрокоде, кроме шифрования памяти.
| | |
| 3.40, Аноним (40), 23:57, 12/02/2019 [^] [^^] [^^^] [ответить]
| +/– |
Нельзя. Ибо это база для долгосрочного прибыльного сотрудничества с копирастами.
| | |
|
| 2.21, proninyaroslav (ok), 17:26, 12/02/2019 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Там зондов тоже хватает. Всякие trust zone и иже с ними. Может быть взлетит risc-v, но сделать свободной архитектуру не значит сделать её прозрачной для потребителя.
| | |
| 2.26, нах (?), 17:44, 12/02/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
там вроде пилили точно такую же технологию? (trust zone это не о том, туда нет доступа "из js". ну, по крайней мере, пока нет ;)
| | |
|
| 1.44, Аноним (44), 00:26, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
Повторение старой саги с спектрумом-васиком и trdos-ом. Там тоже переход из одного в другой, т.е. флипанье пзух в одном адресном пространстве строго по заданным адресам происходил. Но страждующие живо разыскали в кошерных адресах команду RET... Ну а делать JUMP-ы посредством RET-ов в те годы даже начинающие кодопейсатели умели.
Ничему не учит людей история.
| | |
| |
| 2.52, Аноним (52), 08:32, 13/02/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ну, там это для хороших дел использовали: создать десяток резервных копий дискетки. :-)
| | |
|
| 1.54, arisu (ok), 11:44, 13/02/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 вот кто бы мог знать, что наворачивание дополнительных слоёв защиты даёт больше уязвимых точек? нет, определённо никто.
| | |
|
