[Soci SLIP] La sicurezza non esiste (Patch PTI)
Lucio Crusca
lucio a sulweb.org
Sab 6 Gen 2018 14:52:33 CET
Il 06/01/2018 14:24, Alessandro Pasotti ha scritto:
> In che senso è "fumo negli occhi" ?
>
Nel senso che il problema Spectre è molto diverso da Meltdown, sia come
vettore di applicazione che come impatto globale, perché Spectre è più
difficile da sfruttare, oltre al fatto che per Spectre esiste già una
patch sviluppata da Google (Retpoline) che non ha alcun effetto avverso
sulla performance della CPU.
Inoltre Meltdown è un baco delle sole CPU Intel, mentre Spectre è un più
un metodo generale per dedurre i contenuti della cache in base ai tempi
di risposta della CPU quale che essa sia, quindi è difficile parlare di
bug in quel caso. Al massimo Spectre può essere un design flaw, ma che
riguarda il design del concetto stesso di cache, indipendentemente da
dove si usa la cache (sia in una CPU o in un controller per i dischi).
Tuttavia Intel fa apposta a confondere le acque parlando delle due
problematiche assieme, in modo da poter citare anche gli altri
produttori di CPU negli stessi documenti in cui parla di Meltdown.
> Ho appena provato questo sulla mia macchina e come fumo mi pare
> piuttosto tossico ...
>
> https://github.com/Eugnis/spectre-attack
>
Certo, non metto in dubbio che anche Spectre abbia la sua importanza, ma
per quale motivo pubblicare le informazioni su Meltdown assieme a quelle
di Spectre, in un sito che è
https://spectreattack.com/
come se Meltdown fosse una variante di Spectre? (da notare i
ringraziamenti ad Intel nel footer del sito).
Infatti c'è già parecchia gente che fa confusione fra le due (che era
esattamente l'obiettivo di Intel, confondere le acque):
http://www.dday.it/redazione/25307/meltdown-e-spectre-google-ha-una-soluzione-che-non-rallenta-nulla
Il titolo dell'articolo è errato: Retpoline non ha nulla a che vedere
con Meltdown e serve solo per Spectre.
Maggiori informazioni sulla lista
Soci