アカウント名:
パスワード:
デスクトップLinuxだとmitigations=off勧めちゃう人をぼちぼち見かけるので、あんまり脅威だと思ってない人が多いのかなと思います。クラウドだと同じCPUを借りてる人が攻撃してくる可能性が排除できないので有効にしておきたいところですが、古典的なウイルスに比べて悪用の可能性は低いと言われればそんな気もします。
しかしHVCI必須化で緩和策関連を捨てられることが理由だとすると、AMD CPUでHVCIに必要なMBECに対応しているのはZen 2以降、型番で言えばRyzen 3000以上(GPUなし)または4000G以上なところ、公式発表では一貫してMBECを搭載しないところのRyzen 2000(Zen+)以上を許容すると言ってしまってるので手遅れ感がありますね。
# Ryzenは型番と世代の数字が一致してないトラップがあるのだ
不特定多数でリソース共有をしているようなサービス以外ではめだって脅威にならんからね。
それなんてWebブラウザ?
何言ってんの?まじで何言ってんの?
ブラウザで動くPoCありますよ。
こういうバカが湧くのを見てると、本当に適切な脅威分析をした上で切っているのか不安になってくるな
SpectreおよびMeltdown脆弱性をブラウザで悪用できることは、既に証明されていいます。
一般人はよく使うサイトのタブを開きっぱなしにすることが多いです。Google・Yahoo!・Facebookは勿論、銀行や証券会社のタブも開きっぱなしにしているかもしれません。
他のタブで悪意のあるサイトを開くと、WebAssemblyやJavaScript経由で、別Originのログイントークンなどが盗まれる恐れがあります。
JavaSciptのタイマーの精度を下げるといったブラウザ側で緩和策がとられている場合がありますが、あくまでも攻撃しにくくするための対策であって根本的な対処で
理論上可能
であっても実用性皆無というのが今の判定ですわな
セキュリティ対策はコストとリスクの費用対効果っていつになったら理解されるんだろうことこんぴゅーたせきゅりてぃについてはゼロリスク信者が多すぎる
Spectre/Meltdownのリスクが低いからとCPUパフォーマンスのためにセキュリティ対策を無効にするって、狂犬病リスクと犬が予防接種で体調崩すリスクを計算して狂犬病予防接種を受けない人と同じようなもの。他の人の対策にただ乗りしているだけで社会にとって迷惑な存在なんですよ。何故、Spectre/Meltdownの攻撃があまり行われていないかというと、OS側でのパッチ、ブラウザでの緩和策等等で攻撃が成功する確率が下がってきていて他の攻撃をやった方が経済的に得だからです。
貴方より賢いMicrosoftやLinuxディストリ開発者が、何故デフォルトでSpectre/Meltdownのパッチを有効化するのかを考えてくださいね。
>何故、Spectre/Meltdownの攻撃があまり行われていないかというと、OS側でのパッチ、ブラウザでの緩和策等等で攻撃が成功する確率が下がってきていて他の攻撃をやった方が経済的に得だからです。
×あまり行われていない○行われたことが一度も観測されていない
ゼロ対策状態ですら、最初から利用条件が厳しすぎて誰も見向きしてないんですよw他に有用な穴なんかいくらでもあるんですから。
「確かに穴だけど悪用するにはハードルが高すぎるので現実的な脅威ではないのでは」と言われていたものに比較的容易に実行可能な方法が発見されたり、実際に利用されたりといった例もけっこうある世界でその認識は甘すぎます。
あつものにこりてなますをふく
世界中のPCにほぼ100%存在しているのに、もう3年も必死にボテ繰り回して何にも出てこない実害も無い脆弱性を頑張って対策続けて下さい!
そうだよ。今のコンピュータの安全性は「これは本当になますなのか」と疑い続ける人のおかげで守られている面もある。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
切ってる人ぼちぼち増えてる (スコア:2)
デスクトップLinuxだとmitigations=off勧めちゃう人をぼちぼち見かけるので、あんまり脅威だと思ってない人が多いのかなと思います。クラウドだと同じCPUを借りてる人が攻撃してくる可能性が排除できないので有効にしておきたいところですが、古典的なウイルスに比べて悪用の可能性は低いと言われればそんな気もします。
しかしHVCI必須化で緩和策関連を捨てられることが理由だとすると、AMD CPUでHVCIに必要なMBECに対応しているのはZen 2以降、型番で言えばRyzen 3000以上(GPUなし)または4000G以上なところ、公式発表では一貫してMBECを搭載しないところのRyzen 2000(Zen+)以上を許容すると言ってしまってるので手遅れ感がありますね。
# Ryzenは型番と世代の数字が一致してないトラップがあるのだ
Re:とんちゃもん (スコア:0)
不特定多数でリソース共有をしているようなサービス以外ではめだって脅威にならんからね。
Re: (スコア:0)
それなんてWebブラウザ?
Re: (スコア:0)
何言ってんの?まじで何言ってんの?
Re: (スコア:2)
ブラウザで動くPoCありますよ。
Re: (スコア:0)
こういうバカが湧くのを見てると、本当に適切な脅威分析をした上で切っているのか不安になってくるな
ブラウザは一般人の場合、最も脅威なんですが (スコア:5, 参考になる)
SpectreおよびMeltdown脆弱性をブラウザで悪用できることは、既に証明されていいます。
一般人はよく使うサイトのタブを開きっぱなしにすることが多いです。
Google・Yahoo!・Facebookは勿論、銀行や証券会社のタブも開きっぱなしにしているかもしれません。
他のタブで悪意のあるサイトを開くと、WebAssemblyやJavaScript経由で、別Originのログイントークンなどが盗まれる恐れがあります。
JavaSciptのタイマーの精度を下げるといったブラウザ側で緩和策がとられている場合がありますが、あくまでも攻撃しにくくするための対策であって根本的な対処で
Re: (スコア:1)
理論上可能
であっても実用性皆無というのが今の判定ですわな
セキュリティ対策はコストとリスクの費用対効果っていつになったら理解されるんだろう
ことこんぴゅーたせきゅりてぃについてはゼロリスク信者が多すぎる
狂犬病予防接種不要論と同じですな (スコア:0)
Spectre/Meltdownのリスクが低いからとCPUパフォーマンスのためにセキュリティ対策を無効にするって、
狂犬病リスクと犬が予防接種で体調崩すリスクを計算して狂犬病予防接種を受けない人と同じようなもの。
他の人の対策にただ乗りしているだけで社会にとって迷惑な存在なんですよ。
何故、Spectre/Meltdownの攻撃があまり行われていないかというと、OS側でのパッチ、ブラウザでの緩和策等等で攻撃が成功する確率が下がってきていて他の攻撃をやった方が経済的に得だからです。
貴方より賢いMicrosoftやLinuxディストリ開発者が、何故デフォルトでSpectre/Meltdownのパッチを有効化するのかを考えてくださいね。
Re: (スコア:0)
>何故、Spectre/Meltdownの攻撃があまり行われていないかというと、OS側でのパッチ、ブラウザでの緩和策等等で攻撃が成功する確率が下がってきていて他の攻撃をやった方が経済的に得だからです。
×あまり行われていない
○行われたことが一度も観測されていない
ゼロ対策状態ですら、最初から利用条件が厳しすぎて誰も見向きしてないんですよw
他に有用な穴なんかいくらでもあるんですから。
Re: (スコア:1)
「確かに穴だけど悪用するにはハードルが高すぎるので現実的な脅威ではないのでは」
と言われていたものに比較的容易に実行可能な方法が発見されたり、実際に利用されたりといった例もけっこうある世界でその認識は甘すぎます。
Re: (スコア:0)
あつものにこりてなますをふく
世界中のPCにほぼ100%存在しているのに、もう3年も必死にボテ繰り回して何にも出てこない実害も無い脆弱性を頑張って対策続けて下さい!
Re:狂犬病予防接種不要論と同じですな (スコア:0)
そうだよ。
今のコンピュータの安全性は「これは本当になますなのか」と疑い続ける人のおかげで守られている面もある。