[Soci SLIP] La sicurezza non esiste (Patch PTI)

[Lucio Crusca]

Il 06/01/2018 14:24, Alessandro Pasotti ha scritto:
> In che senso è "fumo negli occhi" ?
> 

Nel senso che il problema Spectre è molto diverso da Meltdown, sia come 
vettore di applicazione che come impatto globale, perché Spectre è più 
difficile da sfruttare, oltre al fatto che per Spectre esiste già una 
patch sviluppata da Google (Retpoline) che non ha alcun effetto avverso 
sulla performance della CPU.

Inoltre Meltdown è un baco delle sole CPU Intel, mentre Spectre è un più 
un metodo generale per dedurre i contenuti della cache in base ai tempi 
di risposta della CPU quale che essa sia, quindi è difficile parlare di 
bug in quel caso. Al massimo Spectre può essere un design flaw, ma che 
riguarda il design del concetto stesso di cache, indipendentemente da 
dove si usa la cache (sia in una CPU o in un controller per i dischi).

Tuttavia Intel fa apposta a confondere le acque parlando delle due 
problematiche assieme, in modo da poter citare anche gli altri 
produttori di CPU negli stessi documenti in cui parla di Meltdown.

> Ho appena provato questo sulla mia macchina e come fumo mi pare 
> piuttosto tossico ...
> 
> https://github.com/Eugnis/spectre-attack
> 

Certo, non metto in dubbio che anche Spectre abbia la sua importanza, ma 
per quale motivo pubblicare le informazioni su Meltdown assieme a quelle 
di Spectre, in un sito che è

https://spectreattack.com/

come se Meltdown fosse una variante di Spectre? (da notare i 
ringraziamenti ad Intel nel footer del sito).

Infatti c'è già parecchia gente che fa confusione fra le due (che era 
esattamente l'obiettivo di Intel, confondere le acque):

http://www.dday.it/redazione/25307/meltdown-e-spectre-google-ha-una-soluzione-che-non-rallenta-nulla

Il titolo dell'articolo è errato: Retpoline non ha nulla a che vedere 
con Meltdown e serve solo per Spectre.