[gull] Above Meltdown & Spectre

Dominik Madon dominik at acm.org
Sat Jan 13 09:43:43 CET 2018


Bonjour,

Globalement, pour éliminer Spectre et Metdown (un cas particulier de Spectre), il faudrait que les fabricants de processeurs invalident toute entrée en cache chargée sur une prédiction de branchement erronée. On parle de changer la valeur d’un bit en cache. Cela dit, ce comportement était souhaité par les architectes (raison pour laquelle on le trouve sur des processeurs de fabricants différents) dans la mesure où le chargement en cache erroné conduit quand même à une augmentation des performances du CPU, les données (ou instructions) étant parfois utilisées ensuite.

Une bonne idée pour aller plus vite est détournée.


Dom

> Le 13 janv. 2018 à 08:26, Marc Mongenet <marc.mongenet at gmail.com> a écrit :
> 
> Bonjour
> 
> Les attaques SPECTRE servent à lire des données dans le processus.
> Les browsers (en particulier lorsqu'il exécutent du JS) sont sensibles
> à l'attaque.
> 
> L'attaque Meltdown sert à lire la mémoire du noyau. Elle est parée en
> dé-mappant la mémoire système hors de l'espace mémoire des processus.
> 
> Bonne journée,
> Marc
> 
> 
> Le 12 janvier 2018 à 08:00, felix <felix at f-hauri.ch> a écrit :
>> Salut Daniuel,
>> 
>> On Thu, Jan 11, 2018 at 08:44:41PM +0100, Daniel Cordey wrote:
>>> FYI :
>>> 
>>> Comment mieux protéger vos navigateurs (Chrome & Firefox)
>>> 
>>> http://www.linuxandubuntu.com/home/how-hackers-can-read-your-websites-passwords-using-meltdown-and-spectre-with-solution
>> N'importe quoi!
>> 
>> ``Enabling Site Isolation, the content of every website is always rendered in a
>>   dedicated process and isolates from other websites''
>> 
>> Si vraiement cela pouvait suffire, ne crois tu pas que google aurrai commencé par
>> recommander la chose?
>> 
>> Le gars qui à écrit cet article n'a probablement rien compris à Meltdown!
>> 
>> De plus, à ma connaissance, les patchs sont déjà disponibles (en tout cas,
>> pour firefox)...
>> 
>> Mais pour meltdown, pas pour spectre!
>> 
>> Donc bcp de bruit, mais pas les bonnes reccommendations:
>> 
>> - quitter le navigateur et le relancer entre **chaques** opération sensible,
>>   voire redémarrer l'ordi juste **avant** une opération bancaire, à n'effectuer
>>   que dans une ``fenêtre de navigation privée'' et re-démarrer le navigateur
>>   avant de faire aut'chose...
>> 
>> - Eteindre l'ordinateur quand on ne l'utilise pas et en particulier ne pas
>>   laisser le navigateur ouvert (sans surveillance),
>> 
>> - surveiller les moniteurs de performances et s'inquiéter de pic de charge
>>   ou de charge prolongées que l'on ne peut pas expliquer,
>> 
>> etc...
>> 
>> Bonne, a1!
>> 
>> --
>> Félix Hauri  -  <felix at f-hauri.ch>  -  http://www.f-hauri.ch
>> _______________________________________________
>> gull mailing list
>> gull at forum.linux-gull.ch
>> http://forum.linux-gull.ch/mailman/listinfo/gull
> _______________________________________________
> gull mailing list
> gull at forum.linux-gull.ch
> http://forum.linux-gull.ch/mailman/listinfo/gull



More information about the gull mailing list