Уязвимость SPECTRE неустранима. Под ударом фактически весь интернет.


Страницы: (23) « Первая ... 7 8 [9] 10 11 ... Последняя »	[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]

Toksus 17 янв. 2018 г. в 23:51

Примус поничяю • На сайте 19 лет

Цитата (Poltinnik @ 17.01.2018 - 23:50)

Поеду к родителям, заберу старенький системник с антресоли. Там же где-то лежат диски с виндой 95 и 98.

Слабак! Переходи на ZX-Spectrum! Хотя название подозрительное...

tleu 17 янв. 2018 г. в 23:52

Ярила • На сайте 9 лет

Цитата (Избор @ 17.01.2018 - 23:50)

Мне пох, у меня ZX Spectrum 128

Крутой, я все 48 сижу

ПсихоПатрик 17 янв. 2018 г. в 23:52

Ярила • На сайте 10 лет

Цитата

Ошибка Spectre позволяет злонамеренным пользовательским приложениям, работающим на данном компьютере, получить доступ на чтение к произвольным местам компьютерной памяти (англ.)русск., в том числе к памяти, используемой другими приложениями (то есть нарушить изоляцию памяти между программами). Атаке Spectre подвержены большинство компьютерных систем, использующих высокопроизводительные микропроцессоры, в том числе персональные компьютеры, серверы, ноутбуки и ряд мобильных устройств[7]. В частности, атака Spectre была продемонстрирована на процессорах производства корпораций Intel, AMD и на чипах, использующих процессорные ядра ARM.

Имеется вариант атаки Spectre, использующей JavaScript программы для получения доступа к памяти браузеров (чтение данных других сайтов или данных, сохраненных в браузере).[8]

И да, тут не сказано, что он может исполнять код и делать все, что захочет. Сказано, что он может ЧИТАТЬ, данные из других приложений. То есть шпионить.

Barrel0726 17 янв. 2018 г. в 23:52

Ярила • На сайте 9 лет

Цитата (GrafDex @ 17.01.2018 - 23:00)

Хуйня. Байкал уже в продаже.

Отправлено с мобильного клиента YAPik+

Хуйня. Байкал если чо, для таких устройств как роутеры и прочее. А Эльбрус для ПК и серверов...

~~aspex~~ 17 янв. 2018 г. в 23:53

Юморист • На сайте 12 лет

Цитата (BaalBes @ 17.01.2018 - 23:37)

Цитата (zloybomj @ 17.01.2018 - 21:59)

бла-бла-бла.

3 января на ЯПе была выложена новость о процессорах интел.
Дабы лодку не раскачивали, ей тут же повесили тег "fake", а специально-обученные люди откомментировали в стиле "ясно, пойду посру" и "у меня amd". Никто из читателей не удосужился загуглить о чём идёт речь, так она и ушла из виду с сотней лайков как новость "чеводотам с процессорами интел".

бла-бла.

Что это означает мой наивный друг?
Это означает, что твою машину можно прямо сейчас захватить ПОЛНОСТЬЮ, стянуть все пароли, зашифровать/расшифровать данные и тд и тп. Для этого достаточно просто внести соответствующий код в JS и получить контроль над кешем процессора.

бла.

Не, в целом, всё, конечно, по теме. Но за подачу материала в стиле "я несу вам свет в массы, а вы - быдло,которому только котиков с сиськами подавай, меня всего такого замечательного недооценили" - лови шпалу.

Теперь же по теме, и почему именно мне - похуй. Во-первых на моём компе без моего жалания JS из сети (да и вообще любая прога) не выполняется. Только то, что лично я ставил, и чему доверяю. Во-вторых лично мои пароли от чего-то важного, вроде интернет-банка, хранятся только в моей голове, и более нигде не сохраняются. Так что спиздить их проблема. А проебать что-нибудь типа аунта в ВК мне не страшно (тем более уже давно всё к мобиле привязано, восстановить можно всегда). Ну и в-третьих лично я нахуй не нужен ни злобным хакерам, ни спецслужбам, ни тайному мировому правительству, ибо с меня они ничего кроме анализов поиметь не смогут.
И полагаю что в описанной выше ситуации я, среди ЯПовцев, далеко не одинок. Так что:
Ясно, понятно, пойду посру.

Вот тут поржал! ))))
Ты когда ответ в тему писал, текст в рамочку на сайте вбивал? Потом кнопочку "отправить" жмакнул? ))) А теперь наведи курсор на эту самую форму для вбивания текста, нажми ПРАВУЮ кнопку мыши и выбери в появившемся меню "посмотреть код элемента", появится всякая абракадабра, ты чуть вверх крутани и узри страшное слово JAVA SCRIPT )))) Отправив ответ ты ЗАПУСТИЛ ДЖАВОВСКИЙ СКРИПТ!))) БЕЗ подтверждения))) ПОЗДРАВЛЯЮ - ты чайник)))

VasyaDV 17 янв. 2018 г. в 23:53

Отчалил • На сайте 9 лет

-2

Цитата

поставьте NoScript и разрешите скрипты на исполнение лишь на доверенных сайтах.

ТС, открою страшную тайну. Эти настройки являются дефолтными в браузере. И если их не меняли, то скрипты и так не будут запускаться нихуя.
Наверное многие ставили всякие банк-клиенты, работающие через браузер. И наверное помнят, что для того, чтобы они заработали приходиться править настройки браузера и добавлять URL сайта банка в доверенные.
Опять сотрясание воздуха.

Это сообщение отредактировал VasyaDV - 17 янв. 2018 г. в 23:55

~~zloybomj~~ автор 17 янв. 2018 г. в 23:54

бомж • На сайте 8 лет

-2

elPHOBOS
выдержка из ссыли на сохабр:

Так же, как и в случае с Meltdown, атакующая программа не требует для себя никаких особенных привилегий, кроме самой возможности запуститься на атакуемой системе. Теоретически, атака может быть произведена даже из JS-скрипта в браузере и других интерпретируемых языков, в которых есть возможности организовать таймер с точностью, пригодной для различения скорости получения переменной из кэша и из ОЗУ.

Так что про исполняемые файлы вы сами придумали для успокоения.

~~zloybomj~~ автор 17 янв. 2018 г. в 23:54

бомж • На сайте 8 лет

"ТС, открою страшную тайну. Эти настройки являются дефолтными в браузере. И если их не меняли, то скрипты и так не будут запускаться нихуя. "

Что за дичь вы несёте? У вас дефолтно ютуб не работает? :) При отключенном js не работает.

~~MnogoTochie~~ 17 янв. 2018 г. в 23:54

Ярила • На сайте 8 лет

Цитата (DebrisNSX @ 17.01.2018 - 22:13)

У меня Pentium, мне идти срать или нет? ))

Лично я срать хожу, когда хочется, а не когда у меня пентиум.

kannib 17 янв. 2018 г. в 23:55

Юморист • На сайте 11 лет

Мне вот интересно, если автор пишет, что везде по этим вашим интернетам гуляет эксплойты на JS - где исходники? Где пример реализации удаленного доступа и полного контроля (как пишет автор)?

point027 17 янв. 2018 г. в 23:55

Ябрила • На сайте 12 лет

Спасибо, что сказали, пойду все ключи пентагоновские на бумажку перепишу с виндового Блокнота.

elPHOBOS 17 янв. 2018 г. в 23:56

Ярила • На сайте 13 лет

Цитата (zloybomj @ 17.01.2018 - 23:48)

Зачем?

Чтобы в IT-обсуждениях ламером не выглядеть с порога.
Как там кстати дела обстоят с "внедрением в ядро", работу над ошибками сделал ?

Это сообщение отредактировал elPHOBOS - 17 янв. 2018 г. в 23:57

bodyartist 17 янв. 2018 г. в 23:57

Ярила • На сайте 17 лет

ЕБАНА!!! Моя колекция порно под угрозой!!!

ПсихоПатрик 17 янв. 2018 г. в 23:57

Ярила • На сайте 10 лет

Кстати, еще можно кэши проца вырубить. На П1 - П4 точно можно было, как на современных - хз. Правдв тогда, наверное, получится 386.

elPHOBOS 17 янв. 2018 г. в 23:57

Ярила • На сайте 13 лет

Цитата (kannib @ 17.01.2018 - 23:55)

У автора в голове вместе с остальными фантазиями в одной куче.

Это сообщение отредактировал elPHOBOS - 17 янв. 2018 г. в 23:58

VasyaDV 17 янв. 2018 г. в 23:59

Отчалил • На сайте 9 лет

Цитата (zloybomj @ 18.01.2018 - 07:54)

на, курни, "грамотей" https://www.youtube.com/html5

KsandrPRO 18 янв. 2018 г. в 00:00

Ярила • На сайте 14 лет

Так... Угроза ясна... А если в инет лазить только с виртуалки? Можно будет через нее до хостовой машины добраться?

~~MnogoTochie~~ 18 янв. 2018 г. в 00:00

Ярила • На сайте 8 лет

Цитата (anikifya @ 17.01.2018 - 22:15)

Цитата

внести соответствующий код в JS и

и чо?
Ява на рабочем компе нахуй она?
Ну разве тупорылые банк-клиенты? Так на машинах с банк-клиентами стоит доступ только на адрес и порт банка

А если вы админ и у ваших пользователей на компах стоит ява - увольняйтесь к хуям. Вам уже не помочь

1. Между "жава" и "жаваскрипт" даже большая разница, чем между "пиздюк" и "пиздец".
2. Не только банк-клиенты. Для ЭДО, например (пример реальный - у нас в Свердловской области используется такой документооборот между казначейством и бюджетными организациями).

Это сообщение отредактировал MnogoTochie - 18 янв. 2018 г. в 00:01

~~aspex~~ 18 янв. 2018 г. в 00:01

Юморист • На сайте 12 лет

Цитата (VasyaDV @ 17.01.2018 - 23:53)

Цитата

поставьте NoScript и разрешите скрипты на исполнение лишь на доверенных сайтах.

Открою вам страшную тайну - у ВСЕХ браузеров, ПО УМОЛЧАНИЮ стоит настройка - "Разрешить исполнение JS", не верите? Покопайтесь в настройках)))

VasyaDV 18 янв. 2018 г. в 00:01

Отчалил • На сайте 9 лет

-1

Цитата

атакующая программа не требует для себя никаких особенных привилегий, кроме самой возможности запуститься на атакуемой системе

ну да, мелочи какие. всего лишь запуститься. это из серии "быть немного беременной"

BaalBes 18 янв. 2018 г. в 00:01

Агент 0.7 • На сайте 13 лет

Цитата (zloybomj @ 17.01.2018 - 23:43)

"Не, в целом, всё, конечно, по теме. Но за подачу материала в стиле "я несу вам свет в массы, а вы - быдло,которому только котиков с сиськами подавай, меня всего такого замечательного недооценили" - лови шпалу."

Да и пофиг. Я же говорю - сухое изложение материала вообще бы не привлекло внимания.
И да, я бы прошпалил тут всех за то, что новость про спектр ВООБЩЕ МИНОВАЛА ЯП.
КАК???

Ещё раз. Всем ПОХУЙ. Просто потому, что 99.9(9) пользователей данного сайта НИХУЯ не потеряют от того, что их комп взломали.

З.Ы. И вообще. Какой-то ты не ЯПовец...

Может тебе, для начала, над собой поработать? Купит там увеличитель члена, например... А как будет 45см, так и приходи.

Это сообщение отредактировал BaalBes - 18 янв. 2018 г. в 00:06

Васяныч 18 янв. 2018 г. в 00:02

Ярила • На сайте 12 лет

Пока обсуждается сферический конь в вакууме - интересен один момент: как будут выкручиваться безопасники? Они же так пыжились с безопаснотью ПДн, фстэковскими дутыми сетрификатами на разный бесполезный хлам, а тут такая свинья прям под боком

ПсихоПатрик 18 янв. 2018 г. в 00:02

Ярила • На сайте 10 лет

Кстати, ЯП и с отключенным Яваскриптом работает. А вот большинство сайтов не способны работать без него.

А если это можно реализовать через ПХП серипт, то мы вообще фсе умрем. Ведь он исполняется на сервере, насколько я помню.

~~MnogoTochie~~ 18 янв. 2018 г. в 00:02

Ярила • На сайте 8 лет

Цитата (AHDPEiiKA @ 17.01.2018 - 22:16)

И да - уязвимость не устранима, так как она специально внедрялась на этапе разработки, и если верить ТСу про компы с 1995 года таки успешно существует уже 23 года

Специально внедрялась уязвимость, которую еще хуй знает как использовать?

По характеру уязвимости совершенно очевидно, что это просто баг.

~~Vivivdarium~~ 18 янв. 2018 г. в 00:04

Ярила • На сайте 9 лет

Пошел удалять видео, где мы с одноклассницей обмазались говном и дрочим. А то мало ли...

Отправлено с мобильного клиента YAPik+

Это сообщение отредактировал Vivivdarium - 18 янв. 2018 г. в 00:05

Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)	Просмотры темы: 78322
0 Пользователей: