Уязвимость SPECTRE неустранима. Под ударом фактически весь интернет.

"Байкал" наш выход, ТС?

"У автора в голове вместе с остальными фантазиями в одной куче. "

А google project zero proof of concept не предоставили?

Цитата (zloybomj @ 17.01.2018 - 22:23)

"Или "злой страшный мегавирус" действует в обход ОСи? " Именно так. Это уязвимость процессора.

Родной, прежде чем сообщать миру новость, нужно сперва хотя бы попытаться в ней разобраться.
Впрочем, судя по всему, в теме ты ни в зуб ногой.

Это сообщение отредактировал MnogoTochie - 18 янв. 2018 г. в 00:08

Пробил заездный час Эльбруса!

""на, курни, "грамотей" https://www.youtube.com/html5""

Отлично про html5 я в курсе! Теперь отключи js и зайди на ютуб. Много роликов увидел?

Это сообщение отредактировал zloybomj - 18 янв. 2018 г. в 00:10

Кстати, я тут посмотрел, и в опциях современных браузеров не нашел опции отключения Яваскрипт. Хотя, в мозиллаподобных можно отрубить через about:config, вроде.

Это сообщение отредактировал ПсихоПатрик - 18 янв. 2018 г. в 00:24

Иными словами, наступил закат эры Онлайн-платежей, хардовые электронные ключи тоже не помогут, в тч банковские ср встроеными vpn-клинтами. Все в банк за платежками!!!

Гм, а почему , собственно, не помогут антивири? Логично предположить, что если есть определенный алгоритм взлома, то по этой сигнатуре попытку взлома можно и отследить? Не?

"Просто потому, что 99.9(9) пользователей данного сайта НИХУЯ не потеряют от того, что их комп взломали. "

Бред же полный!

Форматните винт. Вайпните мобилу. Слабо?! Прямо сейчас. То же самое сделайте на рабочем месте. Но куда веселее если вас хакнут и просто в удобный момент какую-то подлянку сделают.

Ваша философия "ломайте меня полностью" ПОРОЧНА.

Цитата (zloybomj @ 18.01.2018 - 00:11)

"Просто потому, что 99.9(9) пользователей данного сайта НИХУЯ не потеряют от того, что их комп взломали. " Бред же полный! Форматните винт. Вайпните мобилу. Слабо?! Прямо сейчас. То же самое сделайте на рабочем месте. Но куда веселее если вас хакнут и просто в удобный момент какую-то подлянку сделают. Ваша философия "ломайте меня полностью" ПОРОЧНА.

эта уязвимость позволяет читать из кеша процы, максимум, что может сделать - спиздить пароли. Двухуровневая аутентификация спасет мир.

ТС, тут такое дело.
Эта уязвимость еще и на POWER процессорах обнаружена и связана она с predictive исполнением команд и занесением результатов в регистры кеша.

И, кстати, мягко говоря — это не правда, что от этой штуки нельзя защититься. Достаточно отключить механизм predictive!

И производительность опустится в лютое говно.

Ты готов отказаться от телефона, банков, интернетика? То-то, а что панику развел?

И есть более простые способы проследить за ысеми нами, при том, что у ИБМ уже есть компьютер с квантовым процессором. Все шифрования уже не криптостойкие

"А если в инет лазить только с виртуалки? Можно будет через нее до хостовой машины добраться? "

Запросто. К сожалению. В этом и беда.

"Гм, а почему , собственно, не помогут антивири? Логично предположить, что если есть определенный алгоритм взлома, то по этой сигнатуре попытку взлома можно и отследить? Не? "

Мне тоже это интересно. Я думаю код можно обфусцировать (запутать) так что антивирь не поймёт.

Курил эту тему, в поисках содержательного.
Из содержательного и модного предоставляется следующий "онлайн-проверяльщик Мельте-Спектре":

http://xlab.tencent.com/special/spectre/spectre_check.html

Смело нажимаем кнопочку и проверяемся

Ой.. что за.. и все заверте ..

Кто там говорил, что Ютуб без яваскрипта работает?

Вот как он без него работаает:

Это сообщение отредактировал ПсихоПатрик - 18 янв. 2018 г. в 00:21

Цитата (ainais @ 17.01.2018 - 22:23)

Слишком напрягаются только те, кто хоть что-то шарит в компах. Они же и всеми доступными способами и обезопасят себя. Поставят какие-никакие заплатки на ось и браузеры, важное снесут на флешки-диски, не станут сохранять пароли, отвяжут карты с миллионами ну т.п. А 80% вообще не знают что такое уязвимости и какие они бывают, переустанови винду, скажут они, да и все.

Вот и я о том жежь-судя по тосу,что после этой новости половина комментаторов удалились в клозет,ибо обосрались,грядёт что-то мало привлекательное,скажем так.Но что делать тем,кто в компах разве что понимает с какой стороны на него смотреть?
В общем грустно всё это..

Цитата (sidvsnh @ 17.01.2018 - 22:25)

Цитата (ЛетучийМыщъх @ 17.01.2018 - 22:17) Атака возможна одним способом. Способ известен. Антивирусам нужен день, чтобы закрыть дыру. ОСи нужно 3 дня. Че за паника, ТС? Или "злой страшный мегавирус" действует в обход ОСи? Ну как бэ да. Это железная уязвимость и срать ей на твою ось.Ты читать то пробывал что написано?

Ну и какая, в жопу, разница, какая уязвимость используется, железная или программная, с точки зрения эксплойта?
Ты, наверное, думаешь, что раз уязвимость аппаратнаня, то она работает самостоятельно?
Нет, родной, вся разница между программной уязвимостью и железной, это то, что в первом случае используются программные ошибки, а во втором случае - аппаратные. С точки зрения использования этих уязвимостей в эксплойтах разницы нет от слова совсем. И в том и в другом случае используется специально написанный код, который использует эти ошибки (что программные, что аппаратные - похуй) для совершения действий, которые обычным способом сделать нельзя.

Это сообщение отредактировал MnogoTochie - 18 янв. 2018 г. в 00:20

Бля... При чем сука сиськи, котики и ваш Ютуб с Навальным? Вспоминайте баннеры на банкоматах вашего любимого зеленого говнобанка, РЖД, СК. Особенно было много писка о банкоматах, типа я на обеде не могу себе булочку купить бля...ь!
И это были вымогатели...

Так вот, вы нах не кому не всрались что бы тратить ресурсы и силы на атаку вашего ПК с котиками, атаковать будут тех за кого заплатят!
И да, идите срать, потому как лучше перед боем...

Цитата (zloybomj @ 18.01.2018 - 00:14)

"А если в инет лазить только с виртуалки? Можно будет через нее до хостовой машины добраться? " Запросто. К сожалению. В этом и беда. "Гм, а почему , собственно, не помогут антивири? Логично предположить, что если есть определенный алгоритм взлома, то по этой сигнатуре попытку взлома можно и отследить? Не? " Мне тоже это интересно. Я думаю код можно обфусцировать (запутать) так что антивирь не поймёт.

эм, думаю, что нет, особенно в случае яваскрипта, бо он в любом случае должен быть загружен и интерпретирован -)

...
Пишу с тапка
--------------
var TABLE1_STRIDE = 1;
var TABLE1_BYTES = 3;
var probeTable = ['alpha', 'beta', 'corky'];
var simpleByteArray = [0x00, 0x01, 0x02];
var localJunk;
var index = 0;
if (index < simpleByteArray.length) {
index = simpleByteArray[index | 0];
index = (((index * TABLE1_STRIDE) | 0) & (TABLE1_BYTES - 1)) | 0;
localJunk &= probeTable[index | 0] | 0;
}
console.log(localJunk);
--------------
Интересно, хоть у кого-то эта муйня заработала?

Наебнется интернет, люди будут общаться, книг опять будет не достать, дети будут хуячить в выбивного, девочки прыгать через резинку, мальчики играть в американку. На работе люди будут работать, а не сидеть в соц сетях.

Цитата (zloybomj @ 17.01.2018 - 21:59)

PS Уязвимость spectre вас затрагивает с вероятностью 100%, если ваш процессор новее 1995го года. Если у вас до сих пор Pentium MMX или 486й можете расслабиться.

Где купить 486-ой? Срочно нужен!

Кстати, по-дешёвке могу разогнать до Cray CS-Storm или Vulcan – Blue Gene/Q. Договоримся.

Это сообщение отредактировал Kosya2011 - 18 янв. 2018 г. в 00:32

Хорошо, пусть будет разрешено выполнение скриптов и т.д. Но где эпидемия, почему ее до сих пор нет? Не потому ли, что КПД от эксплуатации этой "уязвимости" примерно 0, 000000000001 по факту?
Такая истерия выгодна лишь производителям процессоров. Ибо ничего существенно нового ни с производительностью ни принципиально в архитектуре не меняется уже много лет. Мня несколько лет назад собрал знакомым на Core i7 машину. И им до сих пор нет никакой острой нужды что либо менять.
что либо менять.

"Ты готов отказаться от телефона, банков, интернетика? То-то, а что панику развел? "

Вы над этим задумаетесь и через неделю примите решения. Пока что все ещё толком не понимают что к чему. И в том числе сами айтишники - их мнения очень сумбурные.

Моё мнение такое - сделаю бэкап ещё раз, снесу с ПК все документы и рабочую инфу мало ли что. Жаваскрипт, пока я не разобрался с сутью угрозы от него, у меня отключен наглухо (и да, ЯП без него пашет, но без видосов).

Короче. У меня АМД, я сижу на линуксе (ядро обновлено), жаваскрипта нет. И всё равно мой броневик уязвим. Из того что я понял на данный момент для меня конретно реальна угроза в виде первого спектра, от второго АМД открещивается типа "почти невероятно его реализовать". И скорее всего второй спектр-таки закроют.
Остаётся первый.

Цитата (PaSquirrel @ 18.01.2018 - 07:11)

Гм, а почему , собственно, не помогут антивири? Логично предположить, что если есть определенный алгоритм взлома, то по этой сигнатуре попытку взлома можно и отследить? Не?

Шифровальщики например дохрена определяются???

Цитата (zloybomj @ 18.01.2018 - 00:11)

"Просто потому, что 99.9(9) пользователей данного сайта НИХУЯ не потеряют от того, что их комп взломали. " Бред же полный! Форматните винт. Вайпните мобилу. Слабо?! Прямо сейчас. То же самое сделайте на рабочем месте. Но куда веселее если вас хакнут и просто в удобный момент какую-то подлянку сделают. Ваша философия "ломайте меня полностью" ПОРОЧНА.

При помощи описанных тобой уязвимостей ни форматнуть, ни вайпнуть невозможно.