[WT] [Архив]  [Поиск] Главная Управление
[Назад] [Вся нить] [Первые 100 сообщений] [Последние 50 сообщений]
Ответ в нить [Первые 100 сообщений]
Animapcha image [@] [?]
Тема   ( ответ в 123663)
Сообщение flower
Файл 
Пароль  (для удаления файлов и сообщений)
Параметры   
  • Прежде чем постить, ознакомьтесь с правилами.
  • Поддерживаются файлы типов GIF, JPG, PNG размером до 5000 кБ.
  • Ныне 2442 unique user posts. Посмотреть каталог
  • Максимальное количество бампов нити: 375
151525541881.jpg-(7.37KB, 259×194, images (2).jpg)
123663
No. 123663 watch    
Вот серьёзную хардварную уязвимость нашли в процессорах.
https://habrahabr.ru/post/346026/

Что думаешь, Чиё-тян? Всё совсем-совсем плохо?
Развернуть все изображения
No. 123664    
Хайрезы не постишь, вот это меня оче беспокоит.
No. 123665    
15152563137.png-(18.69KB, 259×224, 10299953.png)
123665
Я в этом не понимаю ничего. Мою мангу украдут? Пароли от карт тоже?
No. 123666    
151525638433.jpg-(132.22KB, 800×600, guishen_1459 (1).jpg)
123666
>>123664
Промахнулся, извините, сударь.
No. 123667    
>>123665
Да, а вместо твоей манги положат яой, ты его прочитаешь, начнешь думать, что мальчик тоже хорошо, и не познать тебе больше чистой девичьей любви.
No. 123668    
151525713836.jpg-(56.38KB, 640×480, Chiyo_Chan_Screenshot_2.jpg)
123668
А давайте просто сделаем вид, что не было никакой уязвимости. Всегда так делаю, когда стыдненько.
No. 123670    
Теперь, когда о ней (уязвимости) известно всем, она опасней, чем до момента публикации.
No. 123671    
Итак, сначала выяснилось про интел. Потом выяснилось что все процессоры подвержены. Потом выяснилось что виндузятникам накатили патч. Но линуксоидам не накатывали.
Эта последовательность событий очень странная, в ней много несоответствий.
No. 123672    
>>123671
Но в чём скрыта суть подобных манипуляций, где скелеты в шкафу?
No. 123673    
>>123672
CIA niggers
No. 123674    
>>123671
Он (для линуксоидов) довольно давно накатан. По крайней мере, об этом мне рассказал мой товарищ
No. 123675    
151525889611.jpg-(217.34KB, 1325×918, .jpg)
123675
>>123663
Meltdown фиксы:
Win7 https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897
Win10 https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056892
Повершелная проверка тут https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in
В маках в декабре фиксы были. Линуксоиды должны сами знать.
Со Spectre пока не ясно. Возможно будем фикситься только на уровне приложений.
Firefox 57 и хром 63 обновились минорными релизами с усложнением атак. Дальше завезут больше.
No. 123685    
>>123671
> виндузятникам накатили патч. Но линуксоидам не накатывали.
Как так? Уже даже Centos 6 обновился позавчера же.
No. 123696    
15152717217.jpg-(152.83KB, 1280×720, [Commie] Teekyuu - 10 [BD 720p AAC] [6DDF022E]-00:.jpg)
123696
https://gist.github.com/ErikAugust/724d4a969fb2c6ae1bbd7b2a9e3d4bb6

1. Исправил ошибку в #define stuff(80) на #define stuff 80 (полагаю, это правильно, а не какой-то хак), а то у меня не компилит иначе
2. gcc -march=core2 -O0 spectre.c -o spectre (core 2 моя микроархитектура)
3. ./spectre

Reading 40 bytes:
Illegal instruction

ХА-ХА! Съел?

инбифо этот эксплоит все равно сломан (не хочу щас ковыряться с этим)
но вы запостите свои результаты
No. 123697    
151527317135.png-(1.28MB, 1339×951, 1497762366020.png)
123697
А от этого можно как-то спрятаться и скрыться? Пора начинать жить по заветам одной умной девочки?
No. 123698    
>>123697
Пентиум 3 спасет отца русской демократии, но не спасет остальных, когда их кто-то ломанет. Ключевая проблема отца русской демократии - где-то на чужих серверах живут его пароли/хеши/данные.
Вообще, эту фигню как будто фиксят, но вообще кто знает, сколько незакрытых уязвимостей Intel/AMD никогда не было обнародовано.
No. 123701    
А они уже надоели со скандалами своими. Пусть делают что хотят, вот.
No. 123703    
151527834437.jpg-(190.29KB, 1280×720, [Commie] Teekyuu - 08 [BD 720p AAC] [E28026DD]-00:.jpg)
123703
>>123696
Update: попробовал версию с более древней функцией и threaded-версию.
Теперь нет Illegal instruction, но угадать этот секрет она не смогла, что я ни предпринимал.
Возможные варианты:
1) Эти эксплоиты не работают для меня
2) Другая комбинация попыток и размеров задержки может помочь эксплоиту (маловероятно)
3) Я неуязвим для spectre

Все, теперб мне точно надоело.
No. 123705    
>>123698
> Пентиум 3 спасет отца русской демократии
Уязвимы интелы с 95 года.
No. 123708    
А от патча падает производительность.
No. 123714    
151530323274.png-(53.97KB, 922×439)
123714
>>123703
Нужно заменить пятидесятую(50) строку
#define CACHE_HIT_THRESHOLD(80) /* assume cache hit if time <= threshold */
на
#define CACHE_HIT_THRESHOLD (80) /* assume cache hit if time <= threshold */
, вставив пробел перед (80).

Ещё следует заменить "?" на '?' в строке 136-ой.
No. 123715    
151530348075.png-(186.92KB, 1600×874)
123715
It fuckin’ works!
No. 123716    
151530368066.png-(208.08KB, 2560×1080)
123716
И не залатали же ещё Арч, эх.
No. 123720    
На дебиан выпустили патчи только для пары версий, на убунтах пока вообще ничего.

На Intel ожидается ощутимая деградация скорости работы с SSD и базами данных. Недавно взял i7 и NVMe, работаю с базами. Победитель по жизни. Найдут, как вернуть производительность? Бежать за AMD теперь?
No. 123727    
>>123720
Судя по всему, AMD практически не уязвимо лишь для Meltdown. Патчи же, замедляющие производительность, будут у всех вне зависимости от.

В этом смысле, Gentoo-AMDшникам, наверное, хорошо: нужно будет просто скомпилить ось без соответствующего флага.
No. 123728    
>>123727
> Патчи же, замедляющие производительность, будут у всех вне зависимости от.
Где-то видел, что уже сделали проверку на архитектуру интела. Сначала было для всех.
No. 123729    
151531216535.jpg-(64.84KB, 505×604, 1412155617.jpg)
123729
Пока за мной наблюдают без видимой нагрузки на мой процессор - я не против. Жаль только, что за мной никто не будет наблюдать, потому что я никому неинтересен. А тут девочки все такие взволнованные, как бы за ними не подглядели, наверняка они очень важные и нужные. Эх, завидно даже.
No. 123731    
>>123729
Разберись в вопросе, пожалуйста, прежде чем иронизировать.
No. 123732    
151531586067.jpg-(58.86KB, 480×604, 1411797623.jpg)
123732
>>123731
Cлишком сложно, это какое-то высшее программирование, а я всего лишь глупая девочка. Единственное, что я понял, так это:
>CPU сдаст вас с потрохами
>VPS, который ворует данные
>Это очень серьезно. Мир разделится на «до» и «после».
>Обновляйся или умри!
No. 123734    
>>123732
>глупая девочка
>понял
Это высказывание плавно меняет сущность высказывающего. Не надо так.
No. 123735    
>>123714
Это все было зделано, да.

>>123715
У меня ничего угадать не может. Все символы застревают на каком-то одном (например 0xFF) и со score=999 (или больше, если даю больше попыток) вываливаются на вывод. Где-то оно застревает в endless loop, короч.

Intel(R) Core(TM)2 Quad CPU Q8200 @ 2.33GHz
No. 123736    
151531750610.jpg-(190.15KB, 500×500, 5015550-11430186.jpg)
123736
>>123734
Что такое VPS?

Почему уязвимости процессоров не фиксят обновления антивирусов, хотя они всегда это делали?

Кому нужен дамп javascripta, кто вообще хранит важную информацию в дампах javascripta? Разработчики мобильных и браузерных игр?

Что ещё за защищённая память кода? Это набор умных слов такой? В смысле какой код? Из реестера? Но там ничего не защищено, в смысле как-то по-особенному. И какие соответствующие права? Администратора что ли?

Эскалация прав чтения памяти? Расширение прав на чтение? То есть на отдельные файлы, то есть увеличивается количество файлов, на которые распространяются права администратора? В смысле уязвимость не может сразу получить права администратора на всё, ей нужна эскалация этого права? Но почему так глупо?

Эксплуатация уязвимости не оставляет следов. Но ведь это глупости, всё оставляет следы, главное знать, как их искать. Работы без следов в процессоре не бывает. Или бывает?

Зачем устанавливать обновление браузера, если уязвимость затрагивает процессор?
No. 123737    
>>123736
VPS — это то, на чём весьма вероятно (кот знает, может пять штук dedecated server в год стоит) развёрнут Чиочан, дорогуша.
No. 123738    
151531919748.jpg-(186.69KB, 500×500, 5015550-11430186.jpg)
123738
>>123737
Получается, мы все умрём?
No. 123739    
151531929187.png-(36.79KB, 681×606, Screenshot_2018-01-07_12-54-44.png)
123739
>>123735
Тоже угадывает лишь 3-5 символов из строки на старом домашнем компьютере с два-ядра-два-гига.
Зато на дохлом новом бюджетном ноуте, который слабее вышеупомянутого пк, работает.
Вот только смогут ли ивилы использовать spectre на практике? Не слишком ли много плясок с бубном ради того, чтобы получить хоть какой-нибудь результат?
No. 123741    
>>123736
Не имею соответсвующего образования/знаний в полном объеме, но на что-то да отвечу.

VPS — Virtual Private Storage, то есть, грубо говоря, виртуалка. Большинство сайтов сейчас крутятся на виртуалках, а не dedicated servers.

Антивирусы когда-нибудь догонят уязвимость и хотя бы забанят наиболее распространенные эксплоиты. Но я не пользуюсь антивирусами, не могу ничего сказать на тему, как оно работает.

В пейпере говорится не про "дамп js", а про дамп памяти пространства ядра (включая всю замапленную физическую память). В любом случае, даже если тебя (клиента) заовнят только в рамках процесса, есть шанс, что твои куки/сессии утекут. Насколько это практически осуществимо - другой вопрос.

Intel со 80286 предоставляет определенного рода фичу — protected mode. В противоположность real mode, в защищенном режиме код проходит проверки на вшивость, то есть, можно ли обращаться к такому-то адресу (и много чего еще) на уровне процессора. Ну, это в нагрузку к другой модели памяти, где каждый процесс живет в своем мирке и теоретически не может попасть ни в пространство ядра, ни в пространства других процессов.

Да, расширение прав. Да, на чтение. И запись. И исполнение. Для всей памяти, не только для файлов. Такие атаки и называются "privilege escalation".

Нет, ну в принципе, нескомпрометированный сниффер может засечь подозрительную активность в сети, если она будет. Средствами ОС ты это не обнаружишь, опять же если атакующий не прикалывается и не напишет "YOU HAVE BEEN PWNED SEND YOUR SHEKELS TO HAVA-NAGILA-HAVA"

Потому что камни подлатают нисразу.

Вообще, вердикт: лично ТЫ можешь не обновляться, но если хозяева серверов и сайтов не сделают что-то со своим барахлом, то можешь пострадать и ты. Дополнительно: эта уязвимость была непубличной ГОДЫ! Кто знает, кем, когда и как она эксплуатировалась. It's like 8086 real mode is real again, LOL.
No. 123743    
>Virtual Private Storage
*Virtual Private Server
WHOOOPS
No. 123744    
15153211692.jpg-(69.84KB, 421×604, 1415865945.jpg)
123744
>>123741
Очень доходчиво объяснил, спасибо, няша.
No. 123745    
>>123744
А я все равно ничего не понял кроме того, что так было всегда и что сделать я ничего не смогу.
No. 123747    
>>123745
А тебе и не нужно ничего делать. Мелкомягкие уже выпустили экстренное обновление для десятых окошек(а для других, кажется, нет ха-ха), гугл сделал заплатку для дырки в ведре, для нескольких дистров линуха выпущено пропатченное ядрышко, для остальных дистров и, кажется, яблочников разработка продолжается. Печально это.
No. 123748    
>>123727
В RedHat ввели три параметра ядра для управления этим делом, настройка вступает в силу без ребута, емнип.
No. 123749    
>>123729
Плохо быть тобой.
No. 123750    
151532442146.jpg-(45.54KB, 402×604, 1409193253.jpg)
123750
>>123749
Не поспоришь.
No. 123751    
Котоны, я не силён в Computer Science III, поясните, уязвимость же не как у wannacry, а пользователь всё-таки должен загрузить malware некий, который уже будет эксплойтить эту уязвимость? Чем это отличается от, скажем, Вишмастера, ведь там тоже надо скачать и запустить прогу?
No. 123753    
>>123751
Любой взлом - это цепочка действий. Как правило, это проникновение, повышение привилегий и полезная нагрузка, некоторые шаги могут быть неавтоматизированы. Например, чувак сам открыл вложение из спама, сам разрешил ему работать от имени администратора и сам^H^H^H зашифровал себе жёсткий диск. Или наоборот червь автоматом нашёл старинную версию Wordpress через гугл и пролез туда через дырку в процесс демона, затем автоматом через уязвимость в ядре поднял привилегии до рута, автоматом прописал себя в загрузку и постучался на командный центр за дальнейшими инструкциями по DDoS и прочим радостям.

Wannacry - уязвимость, упрощающая проникновение (причём проникновение происходит сразу с повышенными привилегиями).

Meltdown - уязвимость, упрощающая повышение привилегий (и делающая его ненужным вовсе для некоторых сценариев).

Wishmaster - это пример полезной нагрузки. Как я помню, нужно было ему самому всё разрешать.
No. 123754    
151532686256.png-(23.72KB, 300×584, 300px-Meltdown_with_text_svg.png)
123754
>>123751
Тем, что оно реализуемо из бравзера. Заходишь ты на какой-нить kissanime.ru, и пока смотришь девочек и котиков, они (или скрипты, подгружающие рекламу, предлагающую увеличить булочку) тебя читают.

>Пожалуй, самое вероятное и неприятное применение на данный момент — получение дампа системной памяти во время выполнения JavaScript.

Поэтому, если ты не ходишь по всяким левым сайтам, которые грузят левые скрипты, которые могут навредить, не используешь левый софт, то ты в безопасности и можно сильно не бояться.
No. 123755    
>>123747
> гугл сделал заплатку для дырки в ведре
На чистые андроиды уже пришли обновления? На EMUI пока ничего.
No. 123756    
151532851676.png-(228.16KB, 466×552, 1497030771732.png)
123756
>>123729
Я тоже совсем отсоедененным себя чувствую. Не понимаю зачем вообще что-то делать.
No. 123758    
>>123705
> Уязвимы интелы с 95 года.
Кроме Атомов до 2013 года и Пентиумов MMX.
>>123720
> как вернуть производительность? Бежать за AMD теперь?
Компенсировать разгоном, например?
>>123755
Устройства на Андроиде далеко не все уязвимы. Во многие дешёвые смартфоны и планшеты до сих пор ставят относительно простые процессоры, в которых просто нет той фичи, ошибка в реализации которой вызывает эти уязвимости.
No. 123759    
>>123758
Я посмотрел свою версию арма, уязвим.
No. 123768    
>падение производительности на 30%
Кстати, джентльмены, а насколько выросла производительность x86-камней за последние десять лет? Я как-то недавно задался вопросом и тупо посмотрел на прирост тактовых частот. При прочих равных (количество ядер), оне возросли несильно. Надо полагать, значительный прирост, если он есть, достигается засчет жирных кешей и этих самых предсказаний выполнения, но в каких задачах это заметно? Я не могу провести бенчмарки на старых и новых системах примерно одного класса (то есть не лаптоп vs. десктоп например). С потолка я назову цифру в не более 30%, лол. 10 лет, господа. Ваши оценки или даже измерения здесь. Спасибо.
No. 123778    
>>123768
Раз в пять - семь. Ядер в десктопных процессорах стало вдвое больше, частоты выросли, производительность на гигагерц выросла в два — два с половиной раза.
No. 123780    
>>123778
>Ядер в десктопных процессорах стало вдвое больше
Выпускаются процессоры 2, 4, 8 ядер.
10 лет назад выпускались 2, 4 ядер.
Сравнивать 8 и 4 заведомо не будем. См. ниже.
>частоты выросли
Насколько?
>производительность на гигагерц выросла в два — два с половиной раза
Причины этому?
Скажем, де/энкодинг видео - вполне распараллеливаемая задача, в ней будет заметен прирост производительности.
Запуск же какого-то навороченного JS на странице - едва ли.
С играми тоже есть ситуации, где важна производительность на ядро, но тут я оставлю слово за геймерами.
И вообще, "производительность на гигагерц" - это термин? Вон MIPS - это термин, хотя он неоднозначно определяет производительность.

Будьте более точны, господа.
No. 123782    
>>123768
Работа алгоритмов x264, flac, lzma, et cetera. Прочие подобные процессы.
No. 123783    
>>123780
> Выпускаются процессоры 2, 4, 8 ядер.
> 10 лет назад выпускались 2, 4 ядер.
10 лет назад выпускались и одноядерные селероны и семпроны.
> Сравнивать 8 и 4 заведомо не будем. См. ниже.
Почему? Что тогда 4 был верхний сегмент, что сейчас 8.
> Насколько?
Процентов на 30 при том же тепловыделении.
> Причины этому?
Тоньше техпроцесс, больше транзисторов богу транзисторов.
> Запуск же какого-то навороченного JS на странице - едва ли.
Out-of-order execution и спекулятивное выполнение. Не все инструкции зависят от результатов соседних, можно их параллельно выполнить на разных функциональных блоках процессора, которых стало больше из-за роста количества транзисторов. Можно угадать результат выполнения инструкции и начать выполнять следующие, нужно только замести следы этого выполнения в случае неудачной догадки (что в интеловских процессорах делается плохо и приводит к обсуждающейся в треде уязвимости). Для мультимедиа векторные блоки стали в два раза шире, теперь 256 бит вместо 128.
> И вообще, "производительность на гигагерц" - это термин? Вон MIPS - это термин, хотя он неоднозначно определяет производительность.
Я имел в виду производительность на гигагерц на ядро. Бенчмарки с MIPS и FLOPS можешь найти сам.
No. 123784    
>>123783
> теперь 256 бит вместо 128
https://en.wikipedia.org/wiki/AVX-512
Правда, я пока не видел, чтоб оно где-то применялось.
No. 123785    
>>123783
>10 лет назад выпускались и одноядерные селероны и семпроны.
Сейчас одноядерники тоже выпускаются. Ёр поинт?
Можно и их включить в сравнение.
>Почему? Что тогда 4 был верхний сегмент, что сейчас 8.
Просто сравним два более-менее одинаковых.
>Процентов на 30 при том же тепловыделении.
https://ark.intel.com/products/88184/Intel-Core-i5-6500-Processor-6M-Cache-up-to-3_60-GHz
https://ark.intel.com/products/30781/Intel-Core2-Duo-Processor-E4500-2M-Cache-2_20-GHz-800-MHz-FSB
Окей, вот эти пресловутые 30% в частоте, докинули пару ядер (из старья есть квады, пусть и более горячие, если что).
И?
Это десятилетний прогресс (ну, здесь меньше 10 лет, ок)?
Я разочарован.
Я могу разогнать какой-нить древний камень и до 5 ГГц, если сильно в голову взбредет.
>Тоньше техпроцесс, больше транзисторов богу транзисторов.
То есть, пока итог - выигрыш в тепловыделении засчет уменьшенного размера транзистора. Но на уменьшение техпроцесса где-то в 4 раза - это все? Вообще, конечно, прогресс осязаем, но разница не столь заметна, как между 1998 и 2008. Причины обновляться с древних камней, кроме лишних денег и "нужд индустрии", если они есть, вообще есть?
>Out-of-order execution и спекулятивное выполнение. Не все инструкции зависят от результатов соседних, можно их параллельно выполнить на разных функциональных блоках процессора, которых стало больше из-за роста количества транзисторов. Можно угадать результат выполнения инструкции и начать выполнять следующие, нужно только замести следы этого выполнения в случае неудачной догадки
Если допустить, что неудачных догадок, скажем, процентов 30 (это наверняка зависит от задачи, но все же), это значит, что эти 30% камень просто приближает глобальное потепление. Спасибо, Интел.
>Я имел в виду производительность на гигагерц на ядро. Бенчмарки с MIPS и FLOPS можешь найти сам.
Честно говоря, не могу. Ну, чтобы все камни, и древние, и новые, использовались в одном и том же тесте. Может, не так искал. Что же до сырого MIPS, то возьмем вики:
>Intel Core 2 Extreme QX6700 (4-core)|||49,161 MIPS at 2.66 GHz|||18.4|||4.6 per core|||2006 release year
>Intel Core i7 6950X|||317,900 MIPS at 3.0 GHz|||106|||10.6 per core|||2016 release year
В целом, как ты и сказал, в два раза на ядро (почти ровно если подогнать по частоте), ядер туда затолкали аж 10, тепловыделение тоже, итого почти четко в пять раз с учетом всех ядер и частоты.
Если мы подгоним нужную задачу этому монстру, конечно.
Мде, мде.
В целом, я не так скептичен, как в начале разговора, но все еще скептичен.
No. 123786    
А, ну да, к чему все это.
Эта уязвимость и сопутствующий фикс ужимают эти пять раз выигрыша еще на 30%, то есть до 3.5 раз где-то (надо полагать, это случается в задачах, где выполнение-вне-порядка имеет наибольшее значение). И если где-то с 2011 года все камни Интела подвержены этому чуть ли не поголовно, то с архитектурами Core 2 и древнее все не так однозначно (как я понял, 32 битные камни уязвимы с несколько другим ароматом, но 32битные камни - это и правда древность, в противоположность древним amd64).
Why, Intel, why?
No. 123787    
151534645051.jpg-(31.11KB, 512×384, 148080130617.jpg)
123787
>>123786
No. 123789    
>>123785
> Но на уменьшение техпроцесса где-то в 4 раза - это все?
В три раза, с 45 до 14 нм. Да и то на самом деле плотность размещения транзисторов выросла не в 9 раз, а меньше. 10 нм пока не для x86.
> Если допустить, что неудачных догадок, скажем, процентов 30 (это наверняка зависит от задачи, но все же), это значит, что эти 30% камень просто приближает глобальное потепление.
В интеловских процессорах есть кэш для декодированных микроинструкций. Если вскоре этот же код всё-таки выполнится, то сэкономится время на декодирование.
>>123786
30 % — это в худшем случае. Для многих задач, в особенности чисто вычислительных, падение производительности оказывается незначительным.
No. 123790    
> что делать
Ничего. Можно ставить апдейты. Можно не ставить.
> AMD
Подвержен.
No. 123792    
151535347471.png-(217.08KB, 333×365, .png)
123792
>>123736
> Почему уязвимости процессоров не фиксят обновления антивирусов, хотя они всегда это делали?
Никогда не делали. Всегда были бесполезным лживым мусором, способным ловить только известные вирусы.
Алсо в свете https://habrahabr.ru/post/344376/ даже для известных становятся бесполезными.
Удали и не слушай маркетинговый буллшит.

Ещё почитать:
https://geektimes.ru/post/285284/
https://geektimes.ru/post/282760/
https://arstechnica.com/information-technology/2017/01/antivirus-is-bad/

>>123720
> Найдут, как вернуть производительность?
Обещают, по крайней мере.
> Intel has begun providing software and firmware updates to mitigate these exploits. Contrary to some reports, any performance impacts are workload-dependent, and, for the average computer user, should not be significant and will be mitigated over time. https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

>>123754
> Поэтому, если ты не ходишь по всяким левым сайтам, которые грузят левые скрипты, которые могут навредить, не используешь левый софт, то ты в безопасности и можно сильно не бояться.
Лучше пусть поставит виндовый фикс Мелтдауна, если на интеле.
No. 123793    
Кстати, на тему уменьшения техпроцесса. Почему идут методичными шагами уменьшения где-то в 1.4 раза (sqrt(2)?)? Нельзя сразу скакнуть раз в десять? Почему?
No. 123794    
151535852313.jpg-(25.77KB, 480×480, 13380912_271606266523455_678343372_n.jpg)
123794
Вспомнилось вот.
No. 123795    
>>123793
Шекели.
No. 123796    
151536150516.gif-(54.58KB, 500×500, 1513924349864.gif)
123796
>MS-DOS is immune to Meltdown because it doesn't do memory protection.
Одна девочка всегда знала, что старые технологии надёжны и ничего у них не может сломаться!
No. 123798    
>>123796
Моя микроволновка тоже.
No. 123827    
151541148448.jpg-(65.46KB, 427×604, 1410962333.jpg)
123827
>>123792
>Никогда не делали. Всегда были бесполезным лживым мусором, способным ловить только известные вирусы.
Не знаю, девочка, меня вот спасают, база у антивируса довольно большая, обновляется каждую неделю или даже чаще. Раньше тоже жил без антивирусов года четыре, пока не заметил, как производительность процессора упала довольно заметно. В итоге оказалось, что мой компьютер был заражённым прудом с вирусами, а я и не подозревал и смеялся над теми, кто пользуется антивирусами. В итоге удалил всё антивирусом, почистил и всё стало хорошо и я больше никогда не смеялся над людьми, которые пользуются антивирусами.
>Удали и не слушай маркетинговый буллшит.
Чтобы твой вирус проник в мой девственный компьютер с кошкодевочками? Никогда!
No. 123831    
>>123792
> Обещают, по крайней мере.
Надеюсь, не пустые слова, надо же что-то делать с репутацией.
No. 123865    
А ведь когда придумываешь ситуации, в которых можешь оказаться но никогда не окажешься - это тоже спекулятивное исполнение? Не занимайтесь спекулятивным исполнением, а не то тоже попячитесь! Потом вас дяди в белых халатах пропатчуют, и потеряете 30% производительности.
No. 123880    
>>123827
Кстати, патч для этой уязвимости при наличии установленного антивируса начинает применяться только после того, как антивирус отметит в реестре, что он совместим с патчем. То есть компьютеры с антивирусами будут уязвимыми несколько дольше, до тех пор, пока антивирусы не адаптируют к изменениям.
No. 123894    
Я уже вижу негативные последствия этой уязвимости: в тредик, где я запостил сайтик с мелькающими девочками под музыку, набежали параноики, вопящие про опасность джаваскрипта. Пришлось удалить, чтобы не видеть этого печально-смешного зрелтща.
No. 123896    
>>123894
Пожалуйста, дай ссылку.
No. 123898    
>>123894
Ты не понимаешь шуток и затроллил себя сам. Береги себя.
No. 123899    
>>123896
https://0x40.mon.im/
>>123895
На автобусе нет TLS, и значит провайдер легко может встроить в него вредоносный контент. Тебе стоит задуматься, стоит ли подвергать себя такой опасности.
No. 123900    
151543570614.png-(433.50KB, 1000×452, 24948079_p0.png)
123900
>>123899
Я задумываюсь. Каждый раз страшно заходить сюда.
No. 123901    
>>123900
В твоей жизни не хватает авантюр.
No. 123902    
151543594177.png-(26.59KB, 557×463, .png)
123902
>>123899
> На автобусе нет TLS
На автобусе нет валидного для браузеров/систем сертификата. А TLS есть и мы им пользуемся.
No. 123903    
>>123667
Разве мальчики это плохо?
No. 123904    
151543640420.jpg-(34.60KB, 640×480, .jpg)
123904
>>123894
> набежали параноики, вопящие про опасность джаваскрипта. Пришлось удалить, чтобы не видеть этого печально-смешного зрелтща.
А что, если я скажу тебе, что опасен не ЖС, а практика исполнения любого недоверенного удалённого кода?
А ещё скажу, что будь вместо ЖС другой язык, было бы хуже и менее безопасно, да. Но то, что ЖС относительно безопасен и лучше других вариантов, не значит, что не стоит говорить об опасности. Безопасности много не бывает.

>>123903
В мизандричном обществе — да.
No. 123905    
151543651752.png-(74.30KB, 250×250, chandlerlol.png)
123905
У вас у всех в головах уже давно найдено 100500 уязвимостей, и все они успешно эксплуатируются каждый день. А я вы всё думаете о проциках, блеа
No. 123908    
>>123904
> А что, если я скажу тебе
А жж Артемия Лебедева ты случайно ещё не нашёл? Серьёзно, скажи ещё пользуешься хакерской утилитой uMatrix.
> Безопасности много не бывает.
А исходный код линукса, всех драйверов и прошивок ты проревьюил? А схематику своего open hardware процессора? JS код в песочнице -- чуть ли не меньшее, о чём стоит беспокоиться.
No. 123911    
>>123905
Хочется хотя бы проциком управлять, нимишай, лол.

>>123908
>JS код в песочнице -- чуть ли не меньшее, о чём стоит беспокоиться.
Ну, здесь можно привести статистический контрдовод: гораздо больше атак на клиента в вебе будут идти через уязвимость в браузере, а не через что-то еще.
Так-то настоящие параноики уже должны были либо отказаться от x86 уже давно (атака довольно простая по сути, была известна и эксплуатировалась ранее 100%), либо отложить кирпичей прямо сейчас, закрыть весь софт, загрузиться, низнаю, со stali и отправлять все релейтед веб-новости кудряшкой себе на почту (ставь лойс если знаешь этот мем).
No. 123916    
151545226933.png-(143.50KB, 850×850, 1.png)
123916
>>123899
>>123908

Странный у тебя тезис.
Одно дело, когда про уязвимость знает узкий круг людей, а вот если дырку опубликовали общедоступно, то вероятность что ею массово воспользуются - возрастает. И логично, что нормальные люди этого опасаются и не бросают всё как есть, а пытаются себя обезопасить.

Ты наверное год назад тоже так же всем рекомендовал забить на уязвимость через SMB v1, потому что "Да у вас и так брешей куча, чё вы паритесь"?

А потом пришёл WannaCry и зашифровал всё аниме, а Петя дополнительно сверху накрыл папку с animemes.
No. 123920    
151545368129.jpg-(163.10KB, 1280×960, .jpg)
123920
>>123908
> Серьёзно, скажи ещё пользуешься хакерской утилитой uMatrix.
Это браузерный файрвол, а не хакерская утилита. Конечно пользуюсь. Noscript говно с баззвордами.
> А исходный код линукса, всех драйверов и прошивок ты проревьюил?
Я вообще на вин7.
> А схематику своего open hardware процессора?
Не завезли открытое железо.
> JS код в песочнице -- чуть ли не меньшее, о чём стоит беспокоиться.
Нет, это именно то, о чём резонно беспокоиться. И в плане приватности (жуткие объёмы информации через жс доступны), и в плане безопасности.
В отличие от панического убегания с винды и попыток выключить Intel ME (через просьбы к этому самому ME отключить себя, лол).
No. 123923    
>>123920
>Noscript говно с баззвордами.
Пояснить сможешь?
No. 123930    
151548361091.jpg-(17.99KB, 480×360, Опасный_Поцик.jpg)
123930
>>123905
> А я вы
Любопытная оговорка.
> всё думаете о проциках, блеа
А надо о поциках, м?
No. 123931    
151548407554.jpg-(121.67KB, 1280×720, Episode 05 - The Angel Whose Illusions Were Shatte.jpg)
123931
>>123920
Ладно, мы всё поняли про опасность джаваскриптов, очень хорошо ты нам тупым объяснил. Можешь больше об этом не писать под каждой ссылкой.
No. 123932    
>>123894
Мало ли что там могло быть по этой ссылке, ходить по всяким левым ссылкам из б вообще не очень-то и благоразумно.
No. 123933    
К слову о uMatrix, а можно во вредоносный .js запрятать функционал, без которого сайт не станет полноценно работать? Одно дело известную я.метрику запрещать, а другое - поочерёдно разрешать всё, пока сайт не заработает.
No. 123934    
151548471827.jpg-(337.81KB, 1500×1000, f651baa5e377de64e8ac81a702272dc4.jpg)
123934
>>123930
>А надо о поциках, м?
О девочках же.
No. 123937    
>>123933
> К слову о uMatrix, а можно во вредоносный .js запрятать функционал, без которого сайт не станет полноценно работать?
Да, на gelbooru специально ломают DOM, а исправляют это в скрипте с рекламой и детектором адблока. Обходится юзерскриптом-односторчником.
No. 123940    
>>123932
Гениальный же план! Делаешь сайт с булочками и котиками, не забыв добавить туда скрипт, иксплуатирующий уязвимость, постишь на Чиочане, говоришь, что вот, дескать, булочки и котики. Чиё переходит по ссылке: она глядит на булочки и котиков, а твой скрипт её читает!

Можно ли, используя эту уязвимость, делать remote code execution? Или оно read-only?
No. 123941    
>>123920
>В отличие от панического убегания с винды
Так поставил бы уже десятку.
No. 123942    
151548693011.png-(2.09MB, 1060×2048, Monokuma_transparent.png)
123942
Тем временем, нить на Чиочане набрала больше постов за три дня, чем аналогичная нить в /s/ Иичана (https://iichan.hk/s/res/199845.html) за шесть. Верной дорогою идём, господа.
No. 123943    
151548785378.png-(42.78KB, 250×225, nelson-laugh.png)
123943
>>123942
Зато один умник в этот /s посылал, но на отказ проследовать туда сказал проследовать на сосач. Ха-ха.
No. 123944    
>>123940
Только чтение, насколько известно.
No. 123945    
>>123942
Наивно полагать, что администрация этих ресурсов хоть как-то отличается.
No. 123947    
>>123946
Плохо быть тобой.
No. 123948    
>>123942
Еще когда на ычане всех только начали сгонять в тематику я написал что если что удаление треда в b и посыл в тематику не будет означать что тред будет в тематике и наберет там столько постов сколько в b, это лишь будет означать что поста не будет в b.
46 сообщений пропущено. Показаны 100 первых сообщений.
Удалить сообщение []
Пароль  
[Mod]