Zola Bridges из компании Google предложил для набора компиляторов LLVM патч с реализацией защиты SESES (Speculative Execution Side Effect Suppression), помогающей блокировать атаки на механизм спекулятивного выполнения в CPU Intel, подобные LVI. Метод защиты реализован на уровне компилятора и основан на добавлении компилятором при генерации машинного кода инструкций LFENCE, которые подставляются перед каждой инструкцией чтения из памяти или записи в память, а также перед первой инструкцией ветвления в группе инструкций, завершающей блок. Похожий метод защиты также предложен и реализован инженерами Intel...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52581
> снижение производительности в 14 разНу и ладно. Спешить нам некуда. Тише едешь - дальше будешь, верно же?
угу - вангую неотключаемую глупость если не в компиляторе, то в механизмах сборки всего подряд, включая калькулятор и, конечно же, в ведре.Разумеется, про условную компиляцию, как и во всех прежних случаях - нееее, не слышали. Но мы будем проверять флажок, на каждую операцию записи в память - вдруг надо lfence!
Там прямо в статье написано что это compile-time защита и что она не должна применяться огульно и только для критикал кода. Ты вообще читал или сразу до комментов скроллишь?
> compile-timeДругими словами, ни о каких флажках речи не идет
>> compile-time
> Другими словами, ни о каких флажках речи не идетфлажки у тебя в ведре линуха будут и в прочих ведрах, там где код изначально ассемблерный, причем скопипастят именно макакино решение. И хрен ты его выковыряешь оттуда - я уже пробовал подобное с идиотскими kpti/ibrs.
Надо еще пару лишних жизней на выгребание всего макачьего навоза.Не, ну можешь еще пару дней верить что так не может быть, и что "они же не идиоты".
Ага, конечно.
Кстати, на удивление нередко в последние годы замечаю именно за конторами, которые наиболее рьяно учат других, как правильно кодить итп( гугл, фейсбук и проч ), совершенно придурошные решения и реализации чуть менее, чем чего_угодно, кроме их целевых продуктов( и то, не всегда. Особенно, говоря о фб и его багованном sdk, с головы до ног обмазанном тестами и типизацией, но, чёрт возьми, багованном, вплоть до того, что его не всегда с первого раза поставишь и приложение с ним скомпилишь.. ведь доходит вплоть до того, что некоторые куски эта фигня ожидает не по относительным адресам, а по (!!!) абсолютным, заранее захаркоденным )
индусы, сэр!
> Там прямо в статье написано что это compile-time защиталучше бы макак сразу написал что его код - г-но. Как оно и есть на самом деле.
> и что она не должна применяться огульно и только для критикал кода
вот весь критикал-код (то есть как раз наиболее тормозной по определению - та же ssl) и скомпилят с этой пакостью, можешь быть уверен.
А код /bin/ls - да, не скомпилят. Надеюсь, это сразу же сделает тебя счастливым.
Дооо... а броузер для тебя - это критикал? Хочешь заворозку на несколько секунд при скроллинге на каждый экран? А киношку в меедиаплеере с фпс 1 кадр в секунду? А в редакторе курсор, не реагирующий на нажатия клавиш? Нет? Правильно, пакетировщики дистрибутивов об этом догадываются, поэтому эти флажки будут отключены везде, где только можно, и потому когда тебя поимеют - это всего лишь вопрос времени.
> Дооо... а броузер для тебя - это критикал?ну зочем вы тгавите?!
Браузер соберут без этой модной херни. С ней соберут только и исключительно требующий особого внимания к безопасТности libnss. К чему это приведет - догадайтесь сами, и где тут бонусы для гугля, единственной корпорации, получающей выгоды от 0rtt и прочих вредных и ненужных улучшизмов - тоже сами сообразите, не маленькие, чай.
> Правильно, пакетировщики дистрибутивов об этом догадываются
главное, веровать. Что "пакетировщики дистрибутивов" вообще что-то могут и умеют, кроме вслепую копипастить из INSTALL.md в debian/rules
Мне нравится - дыры в процессорах, а разрабы - макаки. Норм, че!
C-макаки?
Критикал код - не целый бинарник. Шок/срыв покровов
Да ладно оправдываться. Писаки кода. Не можете - в дворники идите. Да там конкуренция тоже, в блогеры )
Тише едешь - дольше будешь.
Видимо, интересен сам процесс езды?
> Тише едешь - дальше будешь, верно же?Я не хочу дальше. Я хочу быстрее.
Тогда решения, которые были известны ещё до спекулятива: больше мегагерц, больше процессоров.
> Тогда решения, которые были известны ещё до спекулятива: больше мегагерц, больше процессоров.эти решения уже уперлись в технологический тупик - больше мегагерц - изоляторы превращаются в проводники, а проводники в антенны. Предел плотности размещения элементов тоже двигается с большим трудом и с потерями. Приходится размещать кристаллы кэша прямо рядом с процессором, а основная память туда не поместится. И с нех приходится общаться на низкой частоте.
Больше процессоров - больше потерь на синхронизацию - вплоть до того что они начинают превышать выигрыш - при том что далеко не любой алгоритм вообще в принципе может быть распараллелен. Здравстуй, numa, которая создает больше проблем чем решает.
(собственно, speculative execution это попытка параллелить непараллелемое)
Рано или поздно любая технология в своем развитии доходит до технологического предела.
> Рано или поздно любая технология в своем развитии доходит до технологического предела.тут прикол в том, что это "рано" - давно прошло.
То есть предел был виден и понятен еще в конце 90х, поэтому и выбрали другие технологии, позволяющие наращивать вычислительную мощность без перехода на терагерцы и пикометры.
И, тем не менее, кластеры используют десятки тысяч CPU. ПК до этого предела ещё очень далеко.
> И, тем не менее, кластеры используют десятки тысяч CPU.используют. Но ты не хочешь за такую эффективность заплатить из своего кармана - это в-первых. А во-вторых, твоим котикам с фейсбука - не слишком поможет.
Верно. От того места, куда едешь.
>основан на добавлении компилятором при генерации машинного кода инструкций LFENCEЕсли это задеплоят, то камни без SSE2 можно выкинуть на помойку - там этой инструкции нет и не будет, а отказываться от этой защиты, встроенной в компиляторы, из-за пользователей без SSE2, никто не будет, просто наcрут на них (на меня!), впервой что-ли срaть на "бомжей" и "нищeбрoдов". Крайне желателен софт, вырезающий это говно из бинарников, собранных с этой опцией.
Сколько лет интолу што в нем нет sse2?
Может уже перекатишься хотябы на rpi4?
может белки-истерички скинутся ему (и мне заодно) на апгрейды пары десятков разных интересных утюгов?Вас много, вам же ж не жалко по сотне долларов?
Да даже если и скинутся, толку то, если всё новое железо - забэкдоренное гoвнo, а также финансово поддерживать бэкдорщиков, покупая их железо, - это делом им помогать продолжать так делать.
мля, ну я ж просил - ДЕНЬГАМИ! Не надо мне вашего нового железа, я старое куплю, я знаю где и какое.На $100 две штуки получится, причем это с доставкой в РФ, если, конечно, хоть какие-то самолеты еще будут когда-нибудь летать.
А толку от старого железа, если софта для него ты готового не найдёшь, и даже сам собрать из-за потре*****й-разработчиков, которым не только сборочный сервер оплачивает Гугл, но и зарплату платит за то, чтобы делали именно так, как делают, не сможешь.Пора признать - корпорации просто взяли и приобрели весь критический софт на свете и воротят им как хотят. Не нравится - форкай и конкурируй, без каких-либо шансов на успех. Рыночек порешал.
> А толку от старого железа, если софта для него ты готового неоно не настолько старое. Десяточка, наверное, не заведется, но 7sp1 там была штатной.
С л@ап4атоподелками есть minor troubles, но они в основном десктопопроблемы.> Пора признать - корпорации просто взяли и приобрели весь критический софт на
> свете и воротят им как хотят. Не нравится - форкай ипо сути, да. Причем - давно, просто до нас постэффекты ощутимо добрались не сразу.
Но и там, где корпорации не добрались - добрались стаи макак, которые все вокруг себя портят не за зарплату даже, а просто потому что по другому не умеют.
Ага, а на rpi4 SSE2 как будто есть
там белок-истеричек нет, поэтому llvm для этого таржета не изгадят.
Проблема что для него кроме "новых стандартов" операционных систем нет, а тот мне нахрен не вперся.
*загадочно улыбается*
В Кащенке
> *загадочно улыбается*у попиломатериалов появилась какая-то еще операционка, помимо новостандартной? Нешто б-жественную десяточку портировали?
> б-жественнуюСекта дефисистов или безошников в одном слоге? )
> Крайне желателен софт, вырезающий это говно из бинарников, собранных с этой опцией.там так просто не вырежешь.
"ну ета же ж впопенсосе, ты же всегда сам можешь пересобрать - только построишь еще один гугель, поближе к какой-нибудь ГЭС, чтобы оно хотя бы в этом веке закончило пересобираться"
Трепло, попробуй уж хоть раз собрать LFS, Gentoo. А вот потом будешь нам здесь петь про АЭС, ГЭС и скончание века.
Я не он, но я пропробовал 1 раз gcc собрать. Не сам - просто всякие не очень адекватные разрабы любят пересобирать всё, потому что у них система сборки - сборище мейкфайлов и баш-портянок, тесно связанных межбу собой, по хорошему эту систему нужно целиком выкинуть на помойку и переписать заново, порвав на пакеты. gcc, который собирал их gcc, упал по OOMЭто ещё не всё. Есть не очень большие либы на несколько мегабайт на -O3, во время сборки которых что шланг++, что g++ отжирают гиги.
На старом железе вы такое говно не соберетё. Единственная надежда - что либо кто-то соберёт за вас (а это делать во первых не нужно, а во вторых вредно, нужно наоборот legacy прибивать, чем больше софта будет несовместимо со старьём, тем больше партнёров и клиентов, от которых вы зависите, будут вынуждены с него слезть до того, как до вас дойдут с коммерческим предложением и потребуют поддержку старья. Звучит как временной парадокс, но в мире, где всё связано, будет эффект домино: если ты крупный, если ты дропнешь в одном продукте, то это заставит кого-то обновить железо, после этого он тоже дропнет в своих продуктах (нафига поддерживать старьё, если самому не нужно), это тоже заставит кого-то обновить железо, кто-то из них тоже дропнет, причём в наглую и принципиально, не соглашаясь даже за доплату поддерживать, при этом этот продукт, в отличие от твоего, для которого есть недропнувшая замена, окажется для твоих будущих клиентов настолько критичным, что вынудит их обновить железо до того, как они прийдут к тебе, в результате они купят твой продукт, а не конкурента, заплатив за удобство твоей разработки, но виня во всём того принципиального вендора, которому нет альтернативы), либо вам придётся поиграть в 主體, изолироваться от обезумевших потребителей и переписать весь софт, который вам нужен, и самому его разрабатывать и поддерживать. Разумеется, это невозможно. Альтернатива купить новое железо и самому дропнуть поддержку старья.
> поиграть в 主體В смысле, "玩主體"? Или тут какой-то нюанс? * Сам по-китайски 一点 размовляю.
</offtopic>
Попробуй хром или лису собрать, а вот потом будешь нам здесь петь.
Чего тут пробовать, как гентуюзер - периодически собираю (правда, не сказать, чтоб сильно при этом радуюсь)... Фаерфокс на Xeon X3470 (LGA1156) - около 3-х часов пилится, Хром - не трогал, но есть мнение, что ещё больше было бы. На более новой платформе (2х X5675) - ФФ силь но быстрее стал, точно не засекал. А вот Хромиум там пилился часа так 3 примерно (я спать ушёл, поздно уже было :D ).
> то камни без SSE2А вы давно видели "камни" без amd64?
P.S. Если не вкурсе, то AMD64 ABI вместо FPU x87 использует SSE и amd64 / EM64T процессоры априори поддерживают до SSE2.
> А вы давно видели "камни" без amd64?Э полегче на поворотах! Сегодня... Причём дважды.
Неумно о себе судить, не слышали?
У меня вот есть мой первый комп вообще от 1996 года, а текущий-последний от 2011(проц появился в 2009) - меня как бы вполне устраивающий, даже четырёхядерник, но тоже без SSE4.2, т.к.только с 4.1.
И что мне теперь бежать покупать новый выкидывая за штуку уе? Только потому что, а собственно почему?... Потому что в сети неадекватов хватает, судящих по своим конфигам... и предлагающих компиляторными хаками слабомных или продажным авторов компиляторов - снижать производительность до того самого моего 1-го ПК наверное(а ему значит до 8битной денди или даже 4битной 8080)
или даже пусть не ваш случай тут - потому что у AMD/Intel нашлась (вполне предсказуемая) дыра? очередная. Ну, так в следующем месяце - ещё прибудет...P.S.
Да и зачем им - тогда патчить ранеевышедшее(чего и нет) и т.б. вообще делать возвраты когда дешевле нанять в сети всяких разных - предлать новые процы/компы покупать...
> И что мне теперь бежать покупать новый выкидывая за штуку уе? Только
> потому что, а собственно почему?... Потому что в сети неадекватов хватает,
> судящих по своим конфигам... и предлагающих компиляторными хаками слабомных или продажным
> авторов компиляторов - снижать производительность до того самого моего 1-го ПК
> наверное(а ему значит до 8битной денди или даже 4битной 8080)
> или даже пусть не ваш случай тут - потому что у AMD/Intel
> нашлась (вполне предсказуемая) дыра? очередная. Ну, так в следующем месяце -
> ещё прибудет...и чего ты предлагаешь? не патчить этот старый бэкдор?
освоить наконец #ifdef hysterical_squirell
> освоить наконец #ifdef hysterical_squirellтоесть таки не патчить старый бэкдор?
>> освоить наконец #ifdef hysterical_squirell
> тоесть таки не патчить старый бэкдор?предоставить белкам-истеричкам возможность все себе запатчить насмерть, но - только им.
это опция компилятора, причем здесь #ifdef? Нет нужны добавлять какие-то левые ifdef в исходники если оно управляется опциями компилятора
> это опция компилятораточно так же будет реализовано в ведре, без всякого компилятора. И, как обычно, без возможностей выключить ifdefом.
А я сегодня в музее каменное рубило видел. Давай тоже простынь напишу, что индустрия ашельских рубил актуальна как никогда, и "чо мне бежать металлические орудия покупать шоле?".То, что ты с техноантиквариатом играешься - твой выбор и твои трудности. И да, долго он у тебя всё равно уже не протянет. Поэтому не может стать решением каких-бы то ни было проблем.
Учитывая как ныне всё делается, однодневно до скончания гарантии, думаю вы неправы...
> камни без SSE2 можно выкинуть на помойкуЧисто теоретически, если процессору дать неизвестную инструкцию, он сгененрирует какое-то там прерывание, которое можно обработать ядром ос и сэмулировать инструкцию. Конкретно lfence можно вообще не эмулировать,просто продолжить выполнение. Итого: простенький патч на ядро позволит и дальше использовать проц без sse2
Спасибо за информацию. Eсли это встроят часто (а это встроят часто, иначе бы производи ельность в 19 раз не просела), то производительность в результате этого хака просядет не в 19 раз, а на порядки, ибо переключение контекста намного дороже цены этой lfence. Но можно сделать следующее - ядро может затереть эту инструкцию нопом, и тогда при следующем вызове будет быстрым.
о, кстати, да - хак имени vmware server, 2008го года.
Го писать ядрен модуль ;-) Правда, в самом ведре тоже самое наверняка запилят - причем опять неотключаемое.
> о, кстати, да - хак имени vmware server, 2008го года.
> Го писать ядрен модуль ;-) Правда, в самом ведре тоже самое наверняка
> запилят - причем опять неотключаемое.Точно, для самотестирования при загрузке ядра надо в обработчик трапа #UD добавить lfence, пусть сам себя патчит.
можно в исключении нопить инструкцию и в следующий раз исключение не будет брошено. Соответственно будет сначала просадка больше, чем в 19 раз, а потом вообще без просадок.
А не проще уже тогда один раз пройтись по ядру в бинарном виде и заменить уникальный код этой конкретной инструкции на NOP? Или там защита от модификации с проверкой контрольных сумм блоков ядра при загрузке?
> А не проще уже тогда один раз пройтись по ядру в бинарном
> виде и заменить уникальный код этой конкретной инструкции на NOP? Или
> там защита от модификации с проверкой контрольных сумм блоков ядра при
> загрузке?Речь не о ядре, о устанавливаемых программах. Дам можно после каждой установки/обновления все патчить, Но врядли такой механизм будет изкоробочным для старых процов. Плюс всякие DRM проверяют целостность своего файла на диске, но не проверяют целостность всего бинаря, когда он уже загружен, и эти инструкции можно будет легко отстрелить
> можно сделать следующее - ядро может затереть эту инструкцию нопом,
> и тогда при следующем вызове будет быстрым.Есть один нюанс - инструкция не одна, их масса и в каждом исполняемом файле. Модифицированные страницы так просто не отбросить когда физической памяти не хватает, придётся скидывать в подкачку.
позволит, ага. По пяток прерываний на критичных секциях. С полным срывом кэша и конвейера - заshitит даже лучше чем реальный lfence, только и цена будет разиков в сто подороже.
>> камни без SSE2 можно выкинуть на помойку
> Чисто теоретически, если процессору дать неизвестную инструкцию, он сгененрирует какое-то
> там прерывание, которое можно обработать ядром ос и сэмулировать инструкцию. Конкретно
> lfence можно вообще не эмулировать,просто продолжить выполнение. Итого: простенький патч
> на ядро позволит и дальше использовать проц без sse2Заберите у него компьютер, пусть займется делом, в котором хоть что-то понимает.
> Если это задеплоят, то камни без SSE2 можно выкинуть на помойкуНа Бартоне сидишь до сих пор?
на туалатине.
AMD без особых дыр, штуед не нужон.
штеуд получала прибыль от вставляния дыр.
Ну вот сейчас они будут активно тратить полученную прибыль на лечение всех дыр на аппаратном уровне, при том что еще нужно как-то нарастить производительность в игорях, чтобы сынки всяких начальничков побежали обновлять свой 9900K на 10900K.
Куда деваться "бедному еврею", я тут пошарился на складе, правда не поэтому поводу, но выискал 2-х процессорные мамки на базе P-II(slot1), P-III, P-IV, самое прикольное и память там еще стоит и кондеры не вспухшие )))...
выкидывай. Они все увизьгвимы, а вот волшебных команд там еще нет.Рой в складе глубже - где-то на самом его дне должен лежать тот самый, 1ВМ РС-ХТ, на прекрасном 8086. В нем нет никакого speculative execution, да и кэша тоже нет, он неувизьгвим.
У некоторых людей вполне могут найтись рабочие и 8086, даже Атари/Спекрум/Dendy,
раз уж если и на 286 демки клепают поныне, а то и ухищряясь в CGA использовать 16 цветов реальных.И кому то не помешает подучить матчать
- таких уязвимостей небыло даже много-много позже,
т.б.на не Intel ЦПУ.
(Но, наивно полагать что там небыло своих дыр,
кстати никто не сказал что их заменили... А, все эти з@дротсва с кэшем(из-за сверх-экономии на пользователях) - какое то тормозное баловство на которое Intel не обращает внимания даже и поныне).
У некоторых людей вполне себе есть AMIGA A1200 с акселератором :D А уж более некрофильские некрофиллы те вообще дома PDP-11/73 ( J11) держат :DНо фигли с них толку если софта современного под них нет ни какого, так игрушка не более.
Так это хорошо что нет, а то бы всё залагивало.
> выкидывай. Они все увизьгвимы, а вот волшебных команд там еще нет.
> Рой в складе глубже - где-то на самом его дне должен лежать
> тот самый, 1ВМ РС-ХТ, на прекрасном 8086. В нем нет никакого
> speculative execution, да и кэша тоже нет, он неувизьгвим.К ним IDE-винчестеры нужны, а их нет. Пичялько... :'(((
можно CF карту подкючить через переходник
заодно от шума избавитесь
правда карта нужна тоже старая и мелкого обьема - с большими дисками у древних компов вечно были проблемы. таких карт (32-128мб) навалом в старом сисковском железе
Сколько усилий, только чтобы сыграть по старой памяти в Digger или Street Figting Man.
такими темпами ты в этот диггер сможешь на распоследних sandy bridge играть, еще и тормозить будет
> можно CF карту подкючить через переходникс ними тоже проблемы - немодно, немолодежно. последние китайские стоят как золотые.
А те что не CF а cfast/cfexpress - в тот переходник даже не воткнутся.
> правда карта нужна тоже старая и мелкого обьема - с большими дисками у древних компов
> вечно были проблемы. таких карт (32-128мб) навалом в старом сисковском железеесли оно еще работающее - внимательно посмотри на эту карту, и удивись ;-) Да, мы умели решать проблему "слишком больших карт". Циски как раз от нее очень даже страдали. Для msdos 3.0 это решение и тем более подходит.
> можно CF карту подкючить через переходник
> заодно от шума избавитесьКагбэ, именно так и сделал в те времена, когда SSD стоили как самолёт, а IDE-CF адаптеры были за копейки на радиорынке. До сих пор тот PIII-866 с корнем на CF 4GB молотит без единого разрыва.
к ним mfm нужны, тут ничем помочь не смогу.
А если ты 1ВМ-РС-АТ откопал где-то (там уже ide) - обращайся, у меня есть пара десятков.
В основном dtla (частью леченные, но это лечение тоже временное), конечно, поскольку с помойки брал, но есть некоторое количество и за деньги купленных. В виду переползания моей свалки с полки с отключенными винтами на гуанокластеры, они освобождаются.$15/кг, ок? Считать их на штуки - лень.
Зачем мне что-то где-то откапывать, у меня все старые мамки с процами, рамой и прочим обвесом на шкафу лежат. Начиная с i486 с VLB шиной.
Но я запомнил, если что - я к тебе стукнусь ))))
> частью леченные, но это лечение тоже временноенасколько помню, лечение дятлов заключалось в зачистке контактов с гермоблоком с последующим нанесением вазелина в это место. И это работало.
Вот с фуджиками - сложнее было. Надо сначала сдувать мелкосхему а потом после зачистки контактов припаивать обратно. С дебильным царским шагом "четверть от десятой части дюйма"
У меня есть Atom D525, с 2мя ядрами и без внеочередного выполнения команд :-P
Рекомендую.
> Рой в складе глубже - где-то на самом его дне должен лежать
> тот самый, 1ВМ РС-ХТ, на прекрасном 8086. В нем нет никакого
> speculative execution, да и кэша тоже нет, он неувизьгвим.Тут вон неподалёку валяется IBM 5150, только на него смотреть без слёз (во всех смыслах) невозможно, да и собирать его - то ещё щасстье.
> Куда деваться "бедному еврею"...Я вот о том же, когда наконец в инете выложат инструкции для DIY 32-bit CPU на микросхемах логики, на чём-нибудь типа, скажем, TTL 74 серии. Что-нибудь типа такого[1], но не загнувшееся на полпути. А ещё лучше, допиленное до состояния, позволяющего собрать в подвале компьютер с парой десятков процессоров, пускай даже каждый из них на 20MHz работает.
Обломно, что железячники, в отличие от программистов, не умеют сбиваться в стаи и на энтузиазме вытаскивать задачи такого уровня сложности. Даже любопытно становится, почему? Потому что у них нет аналога github'а? Или потому что у них не было железного столлмана? Или потому, что их эксперименты стоят не только времени экспериментатора, но и по деньгам могут быть затратны, и таким образом совсем уж нищeбpoд железом не будет заниматься? Или потому что их проекты интересны только таким же как они: программу можно копировать будучи полнейшим дубом -- выполнить wget/curl/git-clone в консольке может кто угодно, -- а вот чтобы спаять процессор по схеме, нужно долго работать руками?
[1] https://hackaday.io/project/18491-worlds-first-32bit-homebre...
Даже теряюсь в выборе самой непробиваемой платформы:
Opteron socket 940
Opteron socket F
Opteron socket G34
А на ПОВЕР9 семёрка не работает :(
У wheezy и лтс через 2 месяца заканчивается. Никогда этого не понимал, Максимум что можно брать это последняя по состоянию на СЕГОДНЯ убунта лтс, и то лучше посвежее. Это всё имеет смысл только из-за системд, но не на 10 лет же растягивать миграцию. Тем более что для новых установок некроос совершенно не актуальны.
Slackware без systemd.Причем sysvinit сейчас умеет insserv и всё такое.
Запусти на Повер9 в эмуляторе внутри гипервизора. Вот где секурность то будет.
Под эмулятором запусти. Думаю производительности хватит.
ARM I.MX8
>Предложенная Google пограммная защита от атаки LVI показала снижение производительности в 14 разПусть Google ничего больше не предлагает.
>предложенный ранее для GNU Assembler механизм, осуществляющий подстановку LFENCE после каждой операции загрузки из памяти и перед некоторыми инструкциями ветвления, показал снижение производительности примерно в 5 раз (22% от кода без защиты).
Парни, которые пилят GNU Assembler пусть не останавливаюся.
а можно те и другие нахрен утопятся в ледовитый океан?механизм в ассемблере, подставляющий левые команды вместо того что я написал - это ж прекрасно.
А в чем проблема? Отправьте им исходники системды! Пусть посмотрят. И у них останется еще как минимум два выхода ;)
А чего удивительного? Этот жеш ассемблер есть MacroAssembler.
Макросы там явно макросы.
Пф. Хоть в 19, хоть 2019. Это даже лучше будет, потому что говнокодеров поувольняют.
А может всё таки перестать сидеть на кактусе и слезть с него, оказавшысь от блока ванги?
Не ну я в курсе шо бывают садомазахисты, но ведь рано или позно нужно прекращать пытку, здоровья то не вечное.
Боюсь, произойдёт это не ранее ненастного четверга при возвышенно-раковом свисте и вдруг опомнившихся творцах ложа Чёрного моря...> но ведь рано или позно нужно прекращать пытку
Ну сидите дальше, раз нравится, токо хоть ваткой протирайте
> Ну сидите дальше, раз нравитсяДык а чего не сидеть, коль сидится? ;-)
Вскорости уж e2kv5 подвезут, ещё лучше станет.
Хотя и v4 по шесть мест на одном камушке вон тащит.
А есть гарантия, что эльбрус и подобные "российские" камни - это не неуловимые джо, на которых исследователям из Граацкого университета просто нaсрaть по причине того, что не смогли достать ни доки, ни купить сами камни дешево (а с разведкой для этого взаимодествовать либо нет желания, ибо те наверняка запретят опубликовать результаты исследований, проведённых с их помощью, а посонам карьеру делать надо, а не на разведку вкалывать), да и смысла особого нет, ибо даже если и есть в наличии уязвимости и эксплоиты, то те, кто этими камнями пользуются, с них веб не сёрфят (это всё равно что на бронепоезде к соседу в гости ездить, правда есть один пухлик на весь мир, который иногда так делает) и недоверенный код не запускают.
> неуловимые джо, на которых исследователям из Граацкого университета просто нaсрaть по
> причине того, что не смогли достать ни доки, ни купить самида могли купить, в целом, и дешево (вы ж родинкой торгуете и оптом, и в розницу, сказки про поцреотизм подаются с другого окошка) - и даже можно было придумать как не подставляться самим под ваших майоров (оставив всю помойку жужжать и жрать ваше дешевое электричество прямо по месту покупки) - но, прикинув профит - купили вместо этого еще два ведра Grüne Fee.
Спите спокойно, товарищ майоры - ваш неуловимый джо нахрен никому не нужен.
Миша, Штеуд ЦПУ, по сравнеию с E2k, образец открытости.
Кстати, а e2k -- спекулятивный? :)
Ещё одна причина покупать AMD.
Когда уже появится возможность покупать НеШтеуд архитектуру для десктопов...
OLinuXino
Но ведь АМД - это зеркальный клон Интела.
На AMD атака LVI не работает.
Я тебе даже подскажу одно слово: amd64. Догадаешься, кто чью архитектуру использует?
> CPU IntelКому они еще интересны?
>> CPU Intel
> Кому они еще интересны?Продажники говорят что нужны, но кому - это уже приватные данные )
Вы представитель Интела что ли? Если не секрет, что вы вообще делаете на опеннете, мазохист что ли? Вас тут не любят и это мягко говоря
> Вы представитель Интела что ли?Нет конечно, просто есть знакомые продажники. Ну и глаза можно же разуть и посмотреть, что там в магазинах продаётся и как.
Данные не приватные, однозначно Интела нужны. И совсем не "зеркальный" клон. До АМД тоже доберутся и выглядеть это будет не менее смешно. Другой вопрос - кто Тебя заставляет вредоносный код запускать?
Макаки-шантажисты, которым надо сайт монетизировать и требования госрегуляторов выполнять.
> Макаки-шантажисты, которым надо сайт монетизировать и требования госрегуляторов выполнять.никакие госрегуляторы, вроде, никаких заsshit не требуют.
так что ищи угрозу в другом направлении - кто и как соберет в твоем прекрасном линуксе libnss и libssl.so
Регуляторы уже "рекомендуют" фингерпринтить браузеры. И что удивительно, эти "рекомендации" реально выполняют. Уже это можно классифицировать как кибератаку (со всеми вытекающими, в частности 272 УК РФ, п. 1, 2, 3, а именно несанкционированный обход защитных механизмов браузера, предназначенных для защиты чуствительной информации, но судиться с регуляторами и банками по этому поводу ни у кого силёнок не хватит). До "рекомендаций" сканировать память машины для извлечения уникальных идентификаторов, недоступных через API браузера, таких как MAC-адрес, и проверки наличия в памяти информации, выделяющей пользователя из https://lurkmore.to/95%25, что очень подозрительно, тут 1 шаг.
Если доберутся, тогда и будем производительность снижать. А пока только у Интела.
Ладно линукс, но на винду то этот фикс скорее всего полюбому прилетит
> Ладно линукс, но на винду то этот фикс скорее всего полюбому прилетитнаверняка. Но, возможно, нам повезет хотя бы отчасти, и разработчики msvc все же возьмут интеловский, а не индусский вариант.
А мазила хоть с защитой, хоть без защиты медленнее.
Мозила еще и памяти меньше жрёт. В общем - еще то дерьмо :)
Хм... С какого это?!
Сейчас уж даже один процесс не выставить. Приколотили (как и многое другое)
С хромым сравнивай, который жрёт ещё больше. Ну можешь ещё на lynx перейти.
Более идиотского решения проблемы они найти не смогли (facepalm).Я возможно чего-то не понимаю, но проблема возникает при переключении контекста одного ядра на новый поток, когда спекулятивный механизм уже загрузил данные или код старого потока. Не разумнее ли бы было в этом случае форсировать сброс кэшей ядра в момент переключения контекста и только для потоков которые могут считаться не безопасными?
У Штеуда ещё кроме кеша чувствительные данные оседают в разных буферах предзагрузки.
То есть... Гугл предлагает разработчикам вредоносного кода пользоваться пропатченным компилятором, чтобы они уязвимости не могли использовать?
Вот из-за всех этих заплаток приходится оставаться на Debian 8, со старым четырёхлетним ядром.
4 года не обновлявшееся ведро? Ну такое тоже.
Зачем Гугл нанял обезьяну?
Для инклюзивности.
> Зачем Гугл нанял обезьяну?Видать, из толерантности. В пиндостане эта холера ещё хлеще всяких корововирусов свирепствует уже давно.
Пора присмотреться к Эльбрусу!
Спецслужбы это предложение одобряют.
Да, геймерам такие оптимизации... Они это радужно примут)))
Мне, вот, интересно... ну скомпилируют софт с этой защитой, будет больше тормозить. А почему АМДшники должны от этого страдать? В таком случае, софт разный должен быть.