Sécurité info - Page 36

joli le poc.

OK, il a l'adresse, ça tout seul n'est pas exploitable.

Lionel Debroux (./1050) :
Mouais, enfin ça va surtout se retourner contre AMD si ce n'est pas vrai.

Pas du tout. Les utilisateurs veulent quelque chose de rapide, ils s'en foutent si c'est sûr.

Oui les utilisateurs s’en foutent de la sécurité, mais il ne verront pas non plus le «ralentissement »

Kevin Kofler (./1053) :

Lionel Debroux (./1050) :
Mouais, enfin ça va surtout se retourner contre AMD si ce n'est pas vrai.

Pas du tout. Les utilisateurs veulent quelque chose de rapide, ils s'en foutent si c'est sûr.

*toi* tu t'en fous

[troll]Nan il a raison, c'est pourquoi la plupart des utilisateurs Linux ne choisissent pas KDE[/troll]

Mais les 30% de ralentissement c'est quand on fait appel à des changements de contexte ou des primitives système non? Ça ne devrait pas affecter les performances brutes si?

c'est ca

le changement oblige a recharger le registre CR3 qui contient l'adresse de base des pages de table au moment du context switch. ca s'accompagne d'un flush du cache de translation d'adresse, ce qui prend des plombes.

si tu fais du compute intensif sans grande quantité d'entrées sortie avec le noyau (read write ioctl et autres) c'est pas catastrophique.

par contre pour un serveur genre mysql ou oracle... ca doit chier

Mais les 30% de ralentissement c'est quand on fait appel à des changements de contexte ou des primitives système non?

Oui.

Ça ne devrait pas affecter les performances brutes si?

Pour les workloads de quasi-pur calcul single-threaded en user-space, non. Pour le reste, de quelques pourcents à plusieurs dizaines de pourcents
spender écrit que `du -s` n'est pas loin du pire cas. Le benchmark de PostgreSQL ralentit pas mal: https://www.postgresql.org/message-id/20180102222354.qikjmf7dvnjgbkxe@alap3.anarazel.de .

Bah, je prédis déjà les HOWTOs "comment accélerer votre Linux en 5 minutes" qui disent de rajouter nopti selinux=0 à la ligne de commande du noyau (oui, tant qu'on y est, autant aussi désactiver SELinux en même temps pour gagner quelques % de plus) sans la moindre explication. Et aussi les 36000 likes "SA A ACCELERER MON LINUX SES DEUX FOIS PLUS RAPIDES!!!!!!!!!!!1111!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!"

Ou pas

Ca sera aux lecteurs de pourchasser ceux qui écrivent qu'il faut utiliser nopti, sans parler des risques

La principale raison de désactiver SELinux n'est pas la performance, c'est la terrible baisse d'utilisabilité. Oui, au boulot, ces temps-ci, je travaille à plein temps sur la config de machines avec SELinux en mode enforcing. [EDIT: et oui, c'est une des deux distributions qui a une politique SELinux un peu moins incomplète que les autres.]

Bah, soit la faille n'est pas facilement exploitable, alors des personnes bien intentionnées écriront ces HOWTOs, soit elle l'est, alors des personnes en quête de victimes les écriront.

Lionel Debroux (./1062) :
Ca sera aux lecteurs de pourchasser ceux qui écrivent qu'il faut utiliser nopti, sans parler des risques

"Comments on this blog post are closed."

Flan > En fait, l'utilisateur cherche simplement le meilleur ration sécurité/emmerdes d'utilisation.
Typiquement, l'authentification à double facteur, j'ai laissé tomber. Trop de fois où plus de batterie sur le téléphone, ou alors que du filaire (nos nouveaux locaux sont recouverts de moucharabiers en métal, ça fait cage de Faraday), ou téléphone oublié...
Typiquement aussi, il y a plein de personnes qui ont activé l'authentification automatique pour l'ouverture de session et j'en passe.
Le risque existe (et la plupart du temps, ils en sont conscient, même s'ils n'en mesurent pas forcément toutes les implications), mais pour l'utilisateur lambda, le risque est moins dans une compromission de ce type que dans un cryptoware qui va utiliser de l'exécution de code dans un PDF avec un lecteur pas à jour.
Pour les serveurs ou le fonctionnement en entreprise, c'est plus critique...

Nil (./1065) :
Flan > En fait, l'utilisateur cherche simplement le meilleur ration sécurité/emmerdes d'utilisation.

Toi qui pourchasses la moindre généralité à tout va, je te trouve gonflé d'en faire une de ce calibre

À mon avis, beaucoup d'utilisateurs sont déjà assez contents d'arriver à se servir de leur ordi pour en faire ce qu'ils veulent
Pour le reste, même parmi ceux qui savent se servir de leur ordi, combien seront capables de mesurer la différence ? À tel point que le patch est déjà dispo sur macOS et que personne ne s'est rendu compte de la différence de perf. Le truc de Kevin est franchement du même ordre que ceux qui utilisaient des RAM-Optimizer avec Windows XP…

Après, la paranoïa est aussi un état d'esprit

flanker (./1066) :
À mon avis, beaucoup d'utilisateurs sont déjà assez contents d'arriver à se servir de leur ordi pour en faire ce qu'ils veulent

Hm, oui, clairement !
Cela dit, mon propos n'était pas forcément à prendre dans le cas présent, mais dans le cas général : pour la majorité des gens, la sécurité c'est bien uniquement si c'est un effort minimal (c'est ça, le meilleur ratio ).

https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

"y'a un bug mais pas que chez nous, les autres aussi d'abord!"

Ou plutôt: notre matériel marche bien, c'est le logiciel qui est mauvais. Un grand classique, j'entends ça tous les jours depuis que j'ai commencé à bosser

Alors qu'en fait c'est le logiciel qui est bien et le matériel qui est mauvais
(sauf celui de Zerosquare )

vaaala: https://spectreattack.com/

James Bond aime ca.

Ca fait mal :/

:\

et zon copaing http://meltdownattack.com

"Intel believes these exploits do not have the potential to corrupt, modify or delete data." – Bref, ce n'est pas aussi dangereux que Rowhammer, faut pas déconner.

vraiment tu crois ce qu'ils disent a la lettre?
tu as quel interet a minimiser autant l'affaire? je comprends pas trop en fait. ton comportement est plutot louche.

squalyl (./1076) :
tu as quel interet a minimiser autant l'affaire? je comprends pas trop en fait. ton comportement est plutot louche.

Peut-être que Fedora n'a pas encore intégré le patch ?

Kevin Kofler (./1075) :
"Intel believes these exploits do not have the potential to corrupt, modify or delete data." – Bref, ce n'est pas aussi dangereux que Rowhammer, faut pas déconner.

1) comme le fait remarquer squalyl, c'est ce qu'Intel prétend, mais ils ne sont pas vraiment neutres dans l'histoire...
2) justement, le plus gros danger est dans l'utilisation conjointe des deux : cette attaque pour trouver la zone mémoire du noyau à modifier + Rowhammer pour écrire dedans.
(et même si Rowhammer n'existait pas, ça serait déjà une faille grave : la mémoire noyau contient plein de choses qui ne doivent pas être lisibles par n'importe qui, surtout sur les machines qui font tourner de la virtualisation)

Pen^2 (./1070) :
(sauf celui de Zerosquare )

oh, c'est gentil
Tu as un truc à me demander, c'est ça ?