"on macOS, you can just enter `networkQuality` into your terminal for a speed test. No third-party website or tool of any kind needed, it's a built-in mac CLI."
Last edited:
Articole interesante din presă sau de pe bloguri
- Thread starter Pisoi
- Start date
Neo
The Good Doctor
Vulnerabilitatea e veche de un an, a fot făcut disclosure responsabil, a fost publicată abia acum fiindcă acum au fost lansate și patch-urile aferente.
Din ce am înțeles când am citit prima oară despre asta acum câteva zile e că afectează procesoarele pentru servere, și acolo e riscul de furat cheile vreunui alt client. Dar se poate verifica relativ facil:
Command prompt > wmic cpu get processorid , și din rezultat iei ultimele 5 caractere. Eu am un Intel NUC 8i5BEH cu i5-8259U Kaby Lake, iar comanda asta îmi dă un cârnat ce se termină în 806ea.
Apoi bag codul ăsta în link-ul următor:
www.intel.com
și așa aflu că procesorul e vulnerabil și se rezolvă prin microcode update.
Din ce am înțeles când am citit prima oară despre asta acum câteva zile e că afectează procesoarele pentru servere, și acolo e riscul de furat cheile vreunui alt client. Dar se poate verifica relativ facil:
Command prompt > wmic cpu get processorid , și din rezultat iei ultimele 5 caractere. Eu am un Intel NUC 8i5BEH cu i5-8259U Kaby Lake, iar comanda asta îmi dă un cârnat ce se termină în 806ea.
Apoi bag codul ăsta în link-ul următor:
Affected Processors: Transient Execution Attacks & Related Security...
Review the impact of transient execution attacks and select security issues on currently supported Intel products.
www.intel.com
și așa aflu că procesorul e vulnerabil și se rezolvă prin microcode update.
Neo
The Good Doctor
Și de fapt aici este problema, "se rezolvă" prin microcode update și o penalizare de 20 - 50% în viteză. Deja procesoarele Intel afectate de Meltdown și Spectre și acum și Downfall sunt vai de capul lor la performanță cu toate patch-urile astea. "Da' stai, că afectează doar xyz" - da, și mie îmi place să dau o poală de bani pe un telefon care merge bine doar în poziția culcat.
Aha, o să stea în idle de două ori mai încet 99% din timp.
Da, I get your point, sucks, însă dacă excludem combinația riscantă de multiuser/multitenant + shared infrastructure cu CPU-uri puternice unde penalizarea de viteză înseamnă bani pierduți, ne rămâne single user cu high CPU needs, gen tu sau poate mai rar vreunul dintre noi, lucrând în single user mode pe un OS pe un procesor. Și în situația asta putem (?) alege să nu aplicăm acel MCU pentru a păstra eficiența maximă a procesorului, fiindcă nu se îndeplinește condiția de acces concurent de la vreun alt user la același CPU pentru ca exploateze această vulnerabilitate ca să fure date din sesiunea noastră, iar dacă am rula vreun software rogue noi înșine atunci nici nu mai contează existența acestei vulnerabilități fiindcă deja softul ăla rulează în contextul userului nostru și are acces la tot. Așa că, pragmatic vorbind, cât timp nu folosești shared infrastructure, ți se cam poate rupe.
Da, I get your point, sucks, însă dacă excludem combinația riscantă de multiuser/multitenant + shared infrastructure cu CPU-uri puternice unde penalizarea de viteză înseamnă bani pierduți, ne rămâne single user cu high CPU needs, gen tu sau poate mai rar vreunul dintre noi, lucrând în single user mode pe un OS pe un procesor. Și în situația asta putem (?) alege să nu aplicăm acel MCU pentru a păstra eficiența maximă a procesorului, fiindcă nu se îndeplinește condiția de acces concurent de la vreun alt user la același CPU pentru ca exploateze această vulnerabilitate ca să fure date din sesiunea noastră, iar dacă am rula vreun software rogue noi înșine atunci nici nu mai contează existența acestei vulnerabilități fiindcă deja softul ăla rulează în contextul userului nostru și are acces la tot. Așa că, pragmatic vorbind, cât timp nu folosești shared infrastructure, ți se cam poate rupe.
Neo
The Good Doctor
Știi că dacă pui "dar/însă" ce ai spus înainte de asta este invalidat, nu?
Și eu înțeleg că tu gândești la nivel enterprise și că ai o lipsă de respect cronică pentru userii de acasă care vor și ei PC și să "tacă și să-nghită că nu-i cu mult mai lent și nu se observă" da' nu mi se pare ok. Ai fi foarte potrivit la PR la Intel tho
Edit: fix din articol ce-ai spus tu apropos de importanța bug-ului, performance hits și neaplicarea patchului:
Firefox’s Android app is getting proper support for extensions once again - The Verge https://www.theverge.com/2023/8/14/23831094/firefox-android-open-extension-support
/ The mobile browser currently supports a limited number of add-ons, but Mozilla hopes to launch an open ecosystem before the end of the year.
/ The mobile browser currently supports a limited number of add-ons, but Mozilla hopes to launch an open ecosystem before the end of the year.
Subliniez deci:
Intel: „in public cloud environments”
Daniel Moghimi: „only requires the attacker and victim to share the same physical processor core, which frequently happens on modern day shared computing infrastructure”
Deci exact ce am spus: nu se aplică unui user pe calculatorul lui de acasă, cu sistem de operare desktop și RDP oprit și fără multi-useri, fără virtualizare și VM-uri controlate de mai multe persoane concomitent, etc.
Nu este deloc lipsă de respect pentru nici un user de acasă! Este doar înțelegerea corectă a condițiilor în care bug-ul poate fi exploatat!
Adică dacă apare un articol care zice „atenție la dulăpioarele cu sertare Ikea Alex, dacă sunteți în cămin cu alții în cameră, n-au încuietoare și s-ar putea să vă fure chiloții și șosetele, dar vă puteți instala o încuietoare care ocupă juma' de sertar și atunci e totul ok”, tu care ești singur în apartament te sperii și-ți pui încuietoare „că poate vine totuși cineva” sau îți zici ce bine că nu îndeplinești condițiile vulnerabilității și n-ai nevoie să irosești spațiul din sertare pentru o situație imposibilă?
Intel: „in public cloud environments”
Daniel Moghimi: „only requires the attacker and victim to share the same physical processor core, which frequently happens on modern day shared computing infrastructure”
Deci exact ce am spus: nu se aplică unui user pe calculatorul lui de acasă, cu sistem de operare desktop și RDP oprit și fără multi-useri, fără virtualizare și VM-uri controlate de mai multe persoane concomitent, etc.
Nu este deloc lipsă de respect pentru nici un user de acasă! Este doar înțelegerea corectă a condițiilor în care bug-ul poate fi exploatat!
Adică dacă apare un articol care zice „atenție la dulăpioarele cu sertare Ikea Alex, dacă sunteți în cămin cu alții în cameră, n-au încuietoare și s-ar putea să vă fure chiloții și șosetele, dar vă puteți instala o încuietoare care ocupă juma' de sertar și atunci e totul ok”, tu care ești singur în apartament te sperii și-ți pui încuietoare „că poate vine totuși cineva” sau îți zici ce bine că nu îndeplinești condițiile vulnerabilității și n-ai nevoie să irosești spațiul din sertare pentru o situație imposibilă?
Last edited:
Am citit deja. Riscul este de data leak către untrusted code care să exploateze vulnerabilitatea.
De unde poate să intre untrusted code într-un sistem? De la useri. Cu cât mai mulți useri, cu atât mai multe șanse ca unul din ei să fie un rogue actor care să ruleze cod dubios care să fure datele.
Unde pot fi mai mulți useri? Pe un sistem shared, adică cloud.
Ai la tine în computer mai mulți useri? Nu.
Rulezi cod untrusted? Nu. Și dacă ai rula cod dubios direct sub contul userului tău, păi ăla are oricum direct acces la absolut tot ce rulează în contextul userului tău și deci nu-i mai trebuie să folosească vreun exploit ca pas necesar pentru a face data snooping în contextul altui user.
Deci din nou, condiția exploatării bug-ului nu poate fi îndeplinită în situația unui home user pe PC-ul lui de acasă. Iar cazul userului care rulează el însuși un virus dintr-un atașament la e-mail, aia e problemă de user, nu de patch la procesor.
De unde poate să intre untrusted code într-un sistem? De la useri. Cu cât mai mulți useri, cu atât mai multe șanse ca unul din ei să fie un rogue actor care să ruleze cod dubios care să fure datele.
Unde pot fi mai mulți useri? Pe un sistem shared, adică cloud.
Ai la tine în computer mai mulți useri? Nu.
Rulezi cod untrusted? Nu. Și dacă ai rula cod dubios direct sub contul userului tău, păi ăla are oricum direct acces la absolut tot ce rulează în contextul userului tău și deci nu-i mai trebuie să folosească vreun exploit ca pas necesar pentru a face data snooping în contextul altui user.
Deci din nou, condiția exploatării bug-ului nu poate fi îndeplinită în situația unui home user pe PC-ul lui de acasă. Iar cazul userului care rulează el însuși un virus dintr-un atașament la e-mail, aia e problemă de user, nu de patch la procesor.
Marius '95
troubleShooter
Bineinteles ca rulezi cod dubios, se numeste WebAsm, doar ca 1) nu suporta inca genul ala de instructiuni si 2) depinde de browser daca le foloseste pe alea din procesor sau nu.
Dar daca rulezi Windows, practic tot codul este dubios.
Neo
The Good Doctor
Explică-mi unde scrie aici de mai mulți useri. Ai citit pe diagonală, pentru că bias-ul este puternic.
Ce înțeleg eu din fraza asta este că există probleme chiar dacă ai un singur user pentru că un procesor modern folosește tehnologia x pentru operațiuni uzuale care se întâmplă mereu, la ordinea zilei, chiar dacă tehnologia x nu este folosită de workload-ul curent. Acum corectează-mă dacă greșesc, dar nu este vorba musai despre mai mulți useri pe un PC cât cod pe care-l poți pescui la modul deschis un site care rulează cod malițios chiar dacă site-ul nu este aware of it.
Marius '95
troubleShooter
N-ai inteles. Sa detaliez raspunsul de mai sus:
Broser-ul se presupune ca are doar cod trusted. Nu prea sunt de acord, dar ma rog... sa zicem ca-i trusted.
Paginile web nu contin cod nativ cu instructiunile alea si din cate stiu nici nu pot provoca executia lor din codul browser-ului, chiar daca codul browser-ului ar contine acele instructiuni, ceea ce ma indoiesc ca ar contine, din motive de compatibilitate cu sistemele vechi care n-au. Au mai fost cazuri de vulnerabilitati in procesor exploatabile din JS, dar alea erau cache timing attacks; nu se aplica aici.
WebAssembly este un cod usor de "tradus" in cod nativ, spre deosebire de JS sau Java care sunt interpretate. Pentru asta s-a inventat; sa fie o mapare cat mai apropiata de 1:1 cu instructiunile procesoarelor, dar inca portabil, adica sa poata fi rulat si pe x86, si pe x86_64, si pe ARM, si pe ARM64, si pe RISC, etc. Browser-ul "traduce" WebAsm in cod nativ cu instructiunile disponibile in procesorul clientului. Exista propuneri pentru extinderea WebAsm cu vector instructions. Acele propuneri vor fi cu siguranta adoptate, dar nu suntem inca acolo.
Broser-ul se presupune ca are doar cod trusted. Nu prea sunt de acord, dar ma rog... sa zicem ca-i trusted.
Paginile web nu contin cod nativ cu instructiunile alea si din cate stiu nici nu pot provoca executia lor din codul browser-ului, chiar daca codul browser-ului ar contine acele instructiuni, ceea ce ma indoiesc ca ar contine, din motive de compatibilitate cu sistemele vechi care n-au. Au mai fost cazuri de vulnerabilitati in procesor exploatabile din JS, dar alea erau cache timing attacks; nu se aplica aici.
WebAssembly este un cod usor de "tradus" in cod nativ, spre deosebire de JS sau Java care sunt interpretate. Pentru asta s-a inventat; sa fie o mapare cat mai apropiata de 1:1 cu instructiunile procesoarelor, dar inca portabil, adica sa poata fi rulat si pe x86, si pe x86_64, si pe ARM, si pe ARM64, si pe RISC, etc. Browser-ul "traduce" WebAsm in cod nativ cu instructiunile disponibile in procesorul clientului. Exista propuneri pentru extinderea WebAsm cu vector instructions. Acele propuneri vor fi cu siguranta adoptate, dar nu suntem inca acolo.
What is code path?
Marius '95
troubleShooter
Da, bineeee.... Poti sa scrii acelasi lucru de doua ori, dar firefox nu-i ffmpeg.
Exclusivitate: „Regele moare”, cu Victor Rebengiuc, un spectacol excepţional, în premieră la TVR | VIDEO | TVR.RO http://www.tvr.ro/exclusivitate-reg...xceptional-in-premiera-la-tvr_42814.html#view
What are those circles on your chrome tabs? - The Verge https://www.theverge.com/23906182/chrome-tab-circles-meaning-browser
You may have noticed recently that of the tabs on your Chrome browser have circles around the tab’s icon and that the icon itself is smaller and slightly faded. What’s that all about — and can I change them back?
You may have noticed recently that of the tabs on your Chrome browser have circles around the tab’s icon and that the icon itself is smaller and slightly faded. What’s that all about — and can I change them back?
Mai folosește cineva Chrome? De ce?!?
