Le mastodon est un animal à poil laineux
#spectre

Pas mal de changement sur les performance de #redis suite au probleme #spectre et #meltdown

Amazon EC2 Cloud Compute Performance: December vs. February - Phoronix - phoronix.com/scan.php?page=art

@aeris

En fait tu nous dis de désactiver le javascript partout mais tu nous envoies sur des sites qui nécessitent javascript pour fonctionner?

Sérieusement, c'est quoi la bonne pratique maintenant qu'on sait pour #Spectre ?

@Natouille Executive summary : quand on cherche des failles de sécurité, on en trouve. Depuis #Meltdown et #Spectre, tous les chercheurs se sont mis à étudier les processeurs et, le matériel n'étant après tout que du logiciel, en plus fermé, ils trouvent.

@Siltaer @mmu_man À partir du moment où tu fais de la spéculation avec des instructions assembleurs à effet de bords possiblement unsafe (par exemple XDCBT sous XBOX360 : randomascii.wordpress.com/2018), tu souffres de #Spectre et #Meldown, que tu sois libre ou pas 😂

Moi qui ai pris le temps de rassembler :
- carte #Rock64 de Pine64.org
- écran USB FHD
- clavier / trackpoint USB
Pour monter une machine acceptable, sans #Intel Management Engine, j'ai bien cru que mes efforts ne soient en vain devant l'attaque #Spectre.

Mais non, la puce Rockchip 64bits de type Cortex A53 n'est pas concernée par les attaques #Meltdown et #Spectre, ni n'a de Management Engine \o/

Vive le matériel libre. Intel n'aurait jamais osé tromper son monde si ses plans étaient publics.

Funny thread on #NANOG "Can #Meltdown or #Spectre be used to crack a router?" Watch the next BGP hijack :-)

Seriously, I don't know (yet) a way to have a Cisco or a Juniper run outside code. Any Javascript-enabled Web browser in the OSPF process?

On attend toujours le patch pour multideskOs

#meltdown
#spectre

The best thing you as a user can do to protect yourself against #meltdown and #spectre is install an ad blocker. uBlock Origin, specifically.

Practice good security hygiene, and you’ll have less to worry about when the next threat comes along.

This post, on why the Raspberry Pi isn't susceptible to #Spectre or #Meltdown, is a wonderfully clear explanation of how they actually work: raspberrypi.org/blog/why-raspb (via @Sangokuss)

Le pire dans la vie, c'est quand il faut reconnaitre qu'un type qu'on n'aime pas avait raison marc.info/?l=openbsd-misc&m=11 #Meltdown #Spectre

Questions à propos de #spectre:
- Si on ouvre pas de session root sur sa machine (et qu'on est pas sudoer) on n'a pas de risque de se faire piquer son mot de passe ni exécuter du code en root par une autre méthode (je sais que spectre lui-même n'exécute rien, mais je veux dire il ne peut pas donner l'accès à un autre programme malveillant)?
- Par contre c'est mort pour Ubuntu et autres distributions basées sur sudo?

1/?

"To hinder the attacks' efficiency, Mozilla says it will reduce the precision of Firefox's internal timer functions. This is not a full mitigation, but just an efficient and clever workaround." #meltdown #spectre bleepingcomputer.com/news/secu

For Meltdown and Spectre, CERT has changed it's "Replace hardware" recommendation to "Apply updates". Updated information about the vulnerabilities and their implications along with the change in recommendation can be found at CERT's website.

kb.cert.org/vuls/id/584653

#CERT #meltdown #spectre #infosec #hacktheplanet

I suspect people trying to find alternate CPU architectures that don't suffer from #Spectre - like bugs have misunderstood how fundamental the problem is.

Your CPU will not go fast without caches. Your CPU will not go fast without speculative execution. Solving the problem will require more silicon, not less.

I don't think the market will accept the performance hit implied by simpler architectures. OS, compiler and VM (including the browser) workarounds are the way this will get mitigated.

Prediction:

Software will be used to mitigate #meltdown and #spectre, slowing everything down.

In 2020, a new line of Intel CPUs hit the market where you pay a premium for "virtual security extensions" (VSE) that let you turn off the mitigations.

Google, AWS buy truckloads.

Intel profites.

Yay!

#meltdown et #spectre auront permis d'enrichir notre vocabulaire anglais avec "mitigate"...

mitigate: atténuer...

Ne pas confondre avec "fix" : corriger :(