アカウント名:
パスワード:
自宅環境フィルタかけまくってるんでスペクターで抜かれた所で送信する術がないから余計なことしてほしくないんだけどこれVPS以外で神経質に対応する必要あんの?
PC上で実行するすべてのコードの監査と追跡可能性を担保しているか、権限分離の無担保を前提としているなら不要(ごく一部の大型計算機など)。そうでない人については緩和するだけの策であってもあまねく適応しておくべきというのが業界の総意。黙ってRyzenを買え。
「あまねく」「適応しておく」
全てのプロセスを root / administrator 権限で動かしているとか(もともと全プロセスが特権を持っているので権限のないプロセスから本来見られないメモリ領域が漏えいする心配がない)、ブラウザでも複数タブで別ドメインのサイトを開かないとかならどうでもいいだろうけど、理論上あらゆる仮想化やサンドボックスに影響するので全環境で対応する必要あり
ブラウザはこの静寂性を利用できないように対策したんじゃなかったでしたっけ.
悪意あるプログラムが実行されてて,そのプログラムが外部と通信できてたらそりゃもう色々駄々洩れなのはわかりますけど,そんな状態になってたらこの静寂性の対策をしてもたいして状況は改善しない気がするんですよね.
確かに主要ブラウザ側がアップデートで対応したけど(タイマーの精度落とすとかその他CPUダイレクトに働きかける命令を制限)、CPU脆弱性を悪用することができるかもしれない命令を禁止するといった場当たり的な対応であって本質的な脆弱性対策ではない
根本的な対策(CPUのマイクロコードのアップデート)を取らず、プログラム毎に緩和策を取るというのは抜け穴ができがちで好ましくない。
更にいうとマイクロコードのアップデートも本質的な対策ではなく、本当に本質的な対策にはCPU自体の物理交換が必要でほんとはリコールして無料で交換すべきなんだけど、intelは費用がかかるからそれをやらずに誤魔化してるマイクロコードのアップデートで、CPUの性能が落ちることに対する補償すらする気ないみたいだしな
Intelはきちんと責任を取ってリコールする自動車業界を見倣うべき
> 本当に本質的な対策にはCPU自体の物理交換が必要で
まだ影も形もない架空の対策済みCPUとの交換が必要だから対処しようがないって現状もあるもちろんリコールをかけないのはIntelの怠慢だし法で義務付けられてないなら立法の穴だが、問題が内々で共有されてから一年経っても緩和策をハード実装したその場しのぎのCPUしか無いわけで、全面再設計が終わり製造が安定する三年五年後まで交換対応を引き延ばすか、プロセッサとチップセット製品代金全額の払い戻しに応じるか、競合製品とでも交換するしかなく、現実的には無理
他社製品や脆弱性のない古いCPUと交換という手も…
辛うじてWindowsが動くだけの命令互換で電力性能比が1/100くらいの「高信頼性プログラム準拠Intel 80986」でも作って欲しいね。LGA2011で。
購入時の契約にそういう条文があるの?脆弱性の対応で性能が落ちたらリコールとか。それとも、CPUには「購入後に変化した環境条件でも絶対に性能を発揮しなければならない」とか法律があるとか?または、直接事故に繋がって、利用者並びに周辺の命に影響があるとか?しかも今回は最初から「セキュリティを無視すれば性能が出る」とか騙したわけではなく、当時は未知の脆弱性の対応で性能が落ちるって事だし、不当表示的な話でもないわけで。
インテルは保証の必要は無いと思うね。ただ、真摯に対応しないとシェアは落ちるだろうってだけで。そんでもってパッチを提供して対応してるわけだ。それが許せないなら君は次はAMDを選べばよい。ようこそ。
静寂性ってなんか気に入った
ブラウザもJS基本無効で運用してるし買い物するときは専用VM立ち上げてブラウザで対象サイトを開いて決済。終わったらVM初期状態に戻すなのでうちの場合何が奪われるんだろうって思ってる
> 買い物するときは専用VM立ち上げてブラウザで対象サイトを開いて決済。
ここでVM上のブラウザからホスト側のOSに侵入しホスト側のファイルなどのデータを盗むことができます
つまり脆弱性があるかぎり専用VMの意味はありません
あー、ごめん専用VMってホストローカルじゃなくってグローバルねVPS借りててそっちで立ち上げてるホスト側には何も入ってない
> VPS借りててそっちで立ち上げてる
それ一番ダメなやつですよw
そもそもVPSはセキュリティ的にデメリットがありますたとえばVPSは複数のお客さんが物理CPU&メモリを共有している点とかVPSは潜在的に中間者攻撃のリスクを抱えている点などです
VPS側のCPUに脆弱性があれば一瞬でクレジットカードの情報とか盗めます
そこまでやるのであれば物理レベルで分離したほうがコスト安そう。
ないよ
Windows XPに移行すればいいんじゃないの?もうドライバーがないかな。
じゃあ、8.1に移行してアップデートは当てない。
うちはもうXPに移行済みですよ。多少スペックの低いマシンでもサクサク動いて快適です。
> Windows XPに移行すればいいんじゃないの?
Windows XP はもうサポートがなくなってセキュリティホールが沢山あるわけで正気の人や正気のい会社では Windows XP には戻せません。
有名サイトでも広告に悪意あるスクリプト入ってたことあるし、フィルタ掛けまくったところで抜かれるときは抜かれるんじゃないのかな。
ペイロードは暗号化されてるだろうし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
いまいちわからないんだけど (スコア:-1)
自宅環境フィルタかけまくってるんでスペクターで抜かれた所で送信する術がないから余計なことしてほしくないんだけど
これVPS以外で神経質に対応する必要あんの?
Re:いまいちわからないんだけど (スコア:1)
PC上で実行するすべてのコードの監査と追跡可能性を担保しているか、権限分離の無担保を前提としているなら不要(ごく一部の大型計算機など)。
そうでない人については緩和するだけの策であってもあまねく適応しておくべきというのが業界の総意。黙ってRyzenを買え。
Re: (スコア:0)
「あまねく」「適応しておく」
Re: (スコア:0)
全てのプロセスを root / administrator 権限で動かしているとか(もともと全プロセスが特権を持っているので権限のないプロセスから本来見られないメモリ領域が漏えいする心配がない)、
ブラウザでも複数タブで別ドメインのサイトを開かないとかならどうでもいいだろうけど、
理論上あらゆる仮想化やサンドボックスに影響するので全環境で対応する必要あり
Re: (スコア:0)
ブラウザはこの静寂性を利用できないように対策したんじゃなかったでしたっけ.
悪意あるプログラムが実行されてて,そのプログラムが外部と通信できてたらそりゃもう色々駄々洩れなのはわかりますけど,そんな状態になってたらこの静寂性の対策をしてもたいして状況は改善しない気がするんですよね.
Re:いまいちわからないんだけど (スコア:1)
確かに主要ブラウザ側がアップデートで対応したけど(タイマーの精度落とすとかその他CPUダイレクトに働きかける命令を制限)、
CPU脆弱性を悪用することができるかもしれない命令を禁止するといった場当たり的な対応であって本質的な脆弱性対策ではない
根本的な対策(CPUのマイクロコードのアップデート)を取らず、プログラム毎に緩和策を取るというのは抜け穴ができがちで好ましくない。
更にいうとマイクロコードのアップデートも本質的な対策ではなく、本当に本質的な対策にはCPU自体の物理交換が必要で
ほんとはリコールして無料で交換すべきなんだけど、intelは費用がかかるからそれをやらずに誤魔化してる
マイクロコードのアップデートで、CPUの性能が落ちることに対する補償すらする気ないみたいだしな
Intelはきちんと責任を取ってリコールする自動車業界を見倣うべき
Re: (スコア:0)
> 本当に本質的な対策にはCPU自体の物理交換が必要で
まだ影も形もない架空の対策済みCPUとの交換が必要だから対処しようがないって現状もある
もちろんリコールをかけないのはIntelの怠慢だし法で義務付けられてないなら立法の穴だが、問題が内々で共有されてから一年経っても緩和策をハード実装したその場しのぎのCPUしか無いわけで、全面再設計が終わり製造が安定する三年五年後まで交換対応を引き延ばすか、プロセッサとチップセット製品代金全額の払い戻しに応じるか、競合製品とでも交換するしかなく、現実的には無理
Re: (スコア:0)
他社製品や脆弱性のない古いCPUと交換という手も…
Re: (スコア:0)
辛うじてWindowsが動くだけの命令互換で電力性能比が1/100くらいの「高信頼性プログラム準拠Intel 80986」でも作って欲しいね。LGA2011で。
Re: (スコア:0)
購入時の契約にそういう条文があるの?脆弱性の対応で性能が落ちたらリコールとか。
それとも、CPUには「購入後に変化した環境条件でも絶対に性能を発揮しなければならない」とか法律があるとか?
または、直接事故に繋がって、利用者並びに周辺の命に影響があるとか?
しかも今回は最初から「セキュリティを無視すれば性能が出る」とか騙したわけではなく、当時は未知の脆弱性の対応で性能が落ちるって事だし、不当表示的な話でもないわけで。
インテルは保証の必要は無いと思うね。
ただ、真摯に対応しないとシェアは落ちるだろうってだけで。
そんでもってパッチを提供して対応してるわけだ。
それが許せないなら君は次はAMDを選べばよい。ようこそ。
Re: (スコア:0)
静寂性ってなんか気に入った
Re: (スコア:0)
ブラウザもJS基本無効で運用してるし
買い物するときは専用VM立ち上げてブラウザで対象サイトを開いて決済。
終わったらVM初期状態に戻すなのでうちの場合何が奪われるんだろうって思ってる
Re: (スコア:0)
> 買い物するときは専用VM立ち上げてブラウザで対象サイトを開いて決済。
ここでVM上のブラウザから
ホスト側のOSに侵入し
ホスト側のファイルなどのデータを盗むことができます
つまり脆弱性があるかぎり専用VMの意味はありません
Re: (スコア:0)
あー、ごめん
専用VMってホストローカルじゃなくってグローバルね
VPS借りててそっちで立ち上げてる
ホスト側には何も入ってない
Re: (スコア:0)
> VPS借りててそっちで立ち上げてる
それ一番ダメなやつですよw
そもそもVPSはセキュリティ的にデメリットがあります
たとえばVPSは複数のお客さんが物理CPU&メモリを共有している点とか
VPSは潜在的に中間者攻撃のリスクを抱えている点などです
VPS側のCPUに脆弱性があれば
一瞬でクレジットカードの情報とか盗めます
Re: (スコア:0)
そこまでやるのであれば物理レベルで分離したほうがコスト安そう。
Re: (スコア:0)
ないよ
Re: (スコア:0)
Windows XPに移行すればいいんじゃないの?
もうドライバーがないかな。
じゃあ、8.1に移行してアップデートは当てない。
Re: (スコア:0)
うちはもうXPに移行済みですよ。多少スペックの低いマシンでもサクサク動いて快適です。
Re: (スコア:0)
> Windows XPに移行すればいいんじゃないの?
Windows XP はもうサポートがなくなってセキュリティホールが沢山あるわけで
正気の人や正気のい会社では Windows XP には戻せません。
Re: (スコア:0)
有名サイトでも広告に悪意あるスクリプト入ってたことあるし、フィルタ掛けまくったところで抜かれるときは抜かれるんじゃないのかな。
ペイロードは暗号化されてるだろうし。