Test Anti-Spectre-Microcode: SSD-Benchmarks zu Verlusten mit Skylake unter Windows 10

[Sun_set_1]

Sun_set_1, wenn man seine Server so mies konfiguriert hat, wäre es einfach die Leistungsverluste der Patches mehr als zu kompensieren, indem man die Konfiguration des System mal optimiert.

Naja, wir können jetzt gerne über VM-Konfigurationen diskutieren. Aber ganz allgemein sind solche Zuweisungen keine miese Konfiguration. Der Client im Lager bräuchte zum verarbeiten der Scannerdaten kaum mehr als ARM-Power. Trotzdem muss auch dieser mal etwas aufrufen, anlegen oder verändern und dabei große und umfassende Queries starten.

Natürlich liegt die DB auf separatem Server, unter anderem dadurch braucht der Client nur seine wenigen Kerne. Bei uns ist es aber so, dass die Patches Netzwerkweit eingespielt werden, auf allen VM, DB, Tele Servern etc.

Im übrigen sind solche Anwendungen für die Leser hier aber nun wirklich kaum relevant, oder? Den meisten geht es um die Heimanwendernutzung und die ist eben Gaming, Surfen, Office und vielleicht noch Bild- und Videobearbeitung und Softwareentwicklung, aber bei ordentlichen IDEs werden sofern möglich auch mehrere Compilerinstanzen gestartet und dann sind die Zugriffe von mehreren Threads.

Natürlich nicht. Aber ich (und da bin ich wohl nicht alleine) informiere mich hier auch aus beruflichem Interesse. Daher fand ich den Absolutismus, dass es solche Anwendungsfälle/ -Szenarien nicht gibt, nicht ganz richtig.

Das wäre z.B. möglich, wenn ein Firmenprogramm über Browser aufgerufen wird und in einem anderen Tab Spectre über Java-Script aktiv ist.

Richtig, genau die sind Einfallstore. Die meisten Teamleads mit Laptops wollen aber in der Regel die Möglichkeit sich auch von unterwegs aus ins System einzuloggen. Damit ist genau dies gegeben. Das Firmenreisende mit Laptops in der Regel Ziele für Angreifer sind, ist an sich auch keine hanebüchen Geschichte. Es gibt Firmen, die händigen hochrangigen Mitarbeitern extra Lappies für Reisen nach Nahost aus.

In dem Falle ist nicht der Spectre-Patch sondern die IT-Verantwortlichen schuld und gehören dringend ersetzt. Jede halbwegs brauchbare DB-Engine zerlegt Abfragen, sodass mehrere Threads daran arbeiten können. Wenn da jemand der Meinung ist die kritische IT-Landschaft so lang verrotten zu lassen oder gar künstlich zu beschränken, das dies nicht klappt gehört nicht an diese Stelle.

Das ist doch klar. Es geht hier aber schlicht um die Masse. Große Firmen haben teilweise mehr als tausende User an einem Standort bzw. im WAN. Wenn Dir in Peakzeiten plötzlich irgendwo im Netzwerk mal eben 20% Serverleistung flöten gehen, dann setze dich bitte mal an dem Tag an die Supporthotline.

 

[b4e5ff3d9e]

Für einen Standard Desktop-Nutzer, ich finde die ganze Hysterie um Spectre und co. total übertrieben.
Der einzige Weg um diese Lücken "von außen" zu ausnutzen ist evtl. in Browser mit präparierten Webseiten/Verlinkungen durch Javascript Code.
Und das lass sich schon alleine mit Browser-Updates und richtigen Einstellungen gut schützen.
In allen anderen Fällen, der Code muss schon intern laufen.
Und wenn so weit, dann braucht man nicht Spectre und co., ein Trojaner/Keylogger ist viel bequemer.
Für vernetze und unvertraute Mehrbenutzersysteme sieht das natürlich anders aus.
Ich werde diese Patches auf jeden Fall nicht verwenden. Leistungseinbuße sind groß und in meinen Fall bringen sie sicherheitsmäßig gar nichts.

 

[rob-]

Und wenn so weit, dann braucht man nicht Spectre und co., ein Trojaner/Keylogger ist viel bequemer.

Und der läuft dann mit den rechten des aktiven Accounts. Mit Spectre bekommt man Systemrechte und vollen Zugriff auf alles im PC. Unabhängig des OS.

 

[kisser]

Mit spectre bekommt man keine Systemrechte. Alle Seitenkanalattacken ermöglichen nur lesenden Zugriff.

 

[Banned]

Richtig, genau die sind Einfallstore. Die meisten Teamleads mit Laptops wollen aber in der Regel die Möglichkeit sich auch von unterwegs aus ins System einzuloggen. Damit ist genau dies gegeben. Das Firmenreisende mit Laptops in der Regel Ziele für Angreifer sind, ist an sich auch keine hanebüchen Geschichte. Es gibt Firmen, die händigen hochrangigen Mitarbeitern extra Lappies für Reisen nach Nahost aus.

Was aber leicht zu unterbinden wäre, wenn man einfach einen extra Browser für Firmensachen nutzt oder noch einfacher: Chrome mit Site Isolation (könnte ja bei den Firmen-Lappis von vornherein aktiviert werden).

 

[mkdr]

Und wieder ein wertloser Test, da er nur auf High-End durchgeführt wurde. Auf meinem Tablet beträgt der Verlust 60%. Daher werde ich die MC Updates auch blockieren.

 

[b4e5ff3d9e]

Und der läuft dann mit den rechten des aktiven Accounts. Mit Spectre bekommt man Systemrechte und vollen Zugriff auf alles im PC. Unabhängig des OS.

Wer sich alleine auf OS-Sicherheitsmechanismen verlässt, gibt es kein großes Unterschied. Gibt es genug andere OS Lücken, die das ermöglichen.
Und der Code muss erst reinkommen und sich ausführen lassen.

 

[Häschen]

Und wieder ein wertloser Test, da er nur auf High-End durchgeführt wurde. Auf meinem Tablet beträgt der Verlust 60%. Daher werde ich die MC Updates auch blockieren.

Kein Grund irgendetwas zu blockieren, man kann Spectre Schutz im Nachhinein deaktivieren

 

[TheJJJ]

Wer bitte soll sich denn für derartige, auf die Spitze getriebene, künstliche Benchmark-Settings interessieren?
Die Konstellation mit der großen Ramdisk um irgendwie auf Teufel komm raus irgendwelche Veränderungen zu finden ist doch für keinen einzigen Menschen auf der Welt ein im Alltag relevanter Test.

Macht doch mal Benchmarks, die für Menschen relevant sind.
- Bootdauer Windows.
- Bootdauer Linux.
- Start von Office Anwendung.
- Öffnen von großer Datei (oder 5 kleinen) in einer Anwendung.
- Start von Spiel und laden von Spielstand.

Gibt es dabei Unterschiede von >3 Sek? nein? dann wird (sollte) das in der Realität auch keinen A.... interessieren, weil es niemand ernsthaft bemerkt.

Macht doch nicht die Welt verrückt für völlig an den Haaren herbei gezogenen Benchmarks. Denkt mal über die Relevanz eures Jobs nach, wenn ihr so viel Aufwand betreibt, für etwas, das wirklich _niemanden_ interessieren sollte. Ja, für sowas sollte sich wirklich niemand interessieren. Eher schon dafür, wieso man nicht die Wahrheit berichtet: Kein Grund zur Sorge, es ist mal wieder nix relevantes passiert.

 

[bignfan]

Ich hab auf meiner HP z620 (2x Xeon, 24 Cores, 8x8gb ECC ram, 2x Sata SSD + 2x hdd@storage space) das aktuelle BIOS eingespielt. Seitdem hat das System alle paar Minuten "Denkpausen" von 10sek+... Dann reagiert nichts mehr außer dem Mauszeiger

Mit Windows 10 1709 mit allen Patches
Alle Treiber aktualisiert.
Zum kotzen.

BIOS downgrade geht nicht - kommt error

 

[Was_denn]

Zum Thema :

Asus Z170-K Bios aktualisiert wo die Lücke gefixt wurde : BIOS Version 3606 / 02/22/2018 .

QuadCore Intel Core i7-6700K, Lies sich mit der AISuite auf 4600 MHz übertakten laut HWMonitor .

Nach Neuinstallation der aktuellen AISuite3_3.00.13 ist das Ergebnis 4300 MHz .

Der Microsoft Hotfix für WIN 10 brachte keine Änderungen in diese Richtung.

 

[TZUI1111]

guckst du hier https://www.win-raid.com/t154f16-Tool-Guide-News-quot-UEFI-BIOS-Updater-quot-UBU.html

weiß zwar nicht, ob die neuesten microcodes schon eingespielt sind, aber damit kannst jedes EFI Bios selber patchen.

Danke ich schaus mir an heuite abend aber nicht mehr ^^

Die werden sich dann eher wundern, wie du den 4770 auf einem Z86 Board zum laufen bekommen hast. (Signatur)

Ja ich mich auch ^^ Lustig ich bin über ein Jahr unterwegs aber keinem ist der Zahlenfehler aufgefallen.

 

[Holt]

Und die Welt besteht nur aus CB ? CB schreibt auch nur artikel über Hardware/Systeme die CB User auch verwenden ?

Solche die die Leser interessieren, es wird sich sicher nicht jeder Leser jede HW kaufen die hier getestet wird, manche werden auch wegen der Testergebnisse die getestet HW nicht kaufen, z.B. weil ihm das P/L Verhältnis nicht zusagt.

Keine Ahnung warum nur CB interessant sein soll und der Rest der Welt nicht.

Weil für CB nur die Leser relevant sind, denn was würde es z.B. bringen einen Review für eine HW oder SW zu bringen, die gar nicht in Deutschland bzw. im deutschsprachigen Raum verfügbar ist, also von den Lesern gar nicht genutzt werden könne? Würdest Du etwa lesen wollen wie gut ein bestimmtes Mobilnetz oder ein Internetprovider in China ist? Das interessiert von den Lesern niemanden, wogegen es die Leser durchaus interessieren dürfte wie gut eine teure Graka wie die 1080TI oder eine schnelle CPU wie ein i9 7900X abschneidet, auch wenn sie sich am Ende doch keine so teure HW kaufen. Außerdem bekommt CB diese HW in aller Regel von den Herstellern oder einem Händler für den Review zugeschickt.

Wenn du aber wissen willst wie viel Einfluss der Patch auf Dein System und unter Win 7 hat, dann musst Du den Patch einspielen, dann weißt Du ganz genau wie groß der Einfluss ist. Wenn es keinen Patch gibt, dann kann es Dir auch egal sein wie viel Leistung der Kosten würde, dann du kannst ihn dann sowieso nicht einspielen.

Naja, wir können jetzt gerne über VM-Konfigurationen diskutieren.

Nein, denn das interessiert mich überhaupt gar nicht. Man sollte aber auch überlegen ob es überhaupt sinnvoll ist die Patches einzuspielen, denn wenn niemand unkontrolliert auf den VMs Code direkt ausführen kann, besteht auch keine Gefahr. Wenn also auf den VMs nur Anwendungen laufen, aber keine Maschinen auf die User sich direkt einloggen, dann braucht man keinen Schutz vor Spectre, wie sollte der auch auf den Rechner kommen?

Natürlich liegt die DB auf separatem Server, unter anderem dadurch braucht der Client nur seine wenigen Kerne.

Das dürfte kaum der Grund sein, denn wie sollte man sonst zentral die Daten halten, wenn nicht auf einem Server? Schade das du leider nur ganz wenig Ahnung hast von dem wovon du schreibst.

Natürlich nicht. Aber ich (und da bin ich wohl nicht alleine) informiere mich hier auch aus beruflichem Interesse. Daher fand ich den Absolutismus, dass es solche Anwendungsfälle/ -Szenarien nicht gibt, nicht ganz richtig.

Bei den professionellen Anwendungen ist die Bandbreite so weit, darauf kann eine Seite wie CB gar nicht auch nur ansatzweise eingehen. Da muss man meist selbst testen oder den Lieferanten frage welche Änderung dann welchen Einfluss hat. In dem Bereich sollte es ja auch Leute geben die sich darum kümmern und die sollten Ahnung haben, eben weil sie dies für die entsprechende HW und die benutzten Anwendungen ggf. auch selbst ausprobiert haben.

Wenn eine Firma sich die Fachkräfte bzw. das Consulting dann aber sparen will, dann muss sie eben mit suboptimalen Lösungen leben.

dann setze dich bitte mal an dem Tag an die Supporthotline.

An der Supporthotline vor allem billige Hiwis die keine Ahnung haben müssen, sondern nur die Anrufer beruhigen und vertrösten können müssen.

 

[Sun_set_1]

Nein, denn das interessiert mich überhaupt gar nicht.

Warum äußerst Du dich dann inklusive einer Bewertung dazu?

Man sollte aber auch überlegen ob es überhaupt sinnvoll ist die Patches einzuspielen, denn wenn niemand unkontrolliert auf den VMs Code direkt ausführen kann, besteht auch keine Gefahr. Wenn also auf den VMs nur Anwendungen laufen, aber keine Maschinen auf die User sich direkt einloggen, dann braucht man keinen Schutz vor Spectre, wie sollte der auch auf den Rechner kommen?

Die Quitessenz deiner Aussage ist also eine Firma soll ihre Server ungepatcht lassen, insofern die Clients sicher sind?
Ganz hervorragend, deine fachlich überlegene Qualifizierung zu diesem Thema hinsichtlich meiner Person, geht aus dieser Denkweise ganz klar hervor.

Das dürfte kaum der Grund sein, denn wie sollte man sonst zentral die Daten halten, wenn nicht auf einem Server? Schade das du leider nur ganz wenig Ahnung hast von dem wovon du schreibst.

Oh, wenn einem die Argumente ausgehen wird man persönlich? Alte Diskussionsregel, herzlichen Glückwunsch. Hundert Punkte. Aber als keiner Hinweis, schau mal auf mein Argument und die Worte "unter anderem" nach dem Kommata. Ich hoffe die Bedeutung von "unter anderem" (was zwangsläufig mit einschließt, dass noch mehrere Gründe vorliegen. Auf die man aber aufgrund ihrer Offensichtlichkeit nicht separat eingeht) ist Dir ein Begriff. Ich bin momentan, unter anderem, in dem Aufbau eines konzernweiten Datawarehouse involviert, inklusive der Einrichtung und Organisationen aller Schnittstellen, XML Transfer, XML-Transformation, Backupsysteme, Leistungs /Anforderungsermittlung. Aber danke, dass Du mir erklärst, dass der Sinn einer DB ist dezentral zu sein. Das wäre mir sonst durchgegangen.

Dass ich darauf Hinaus wollte, dass Aufgrund von vorhandenen Datenbanken und Software mit geringen Anforderungen schlicht keine starken VM benötigt werden, bist Du nett herumgekurvt. Dafür wurd's dann wenigstens persönlich.

Bei den professionellen Anwendungen ist die Bandbreite so weit, darauf kann eine Seite wie CB gar nicht auch nur ansatzweise eingehen.

Genau. Deshalb testet / berichtet man schließlich auch Grafikkarten wie Volta, XEON CPUs , Intel Optane im Serverformat, Toshibas neue Server HDD's etc.

Ich denke lieber Holt, Du solltest nicht darüber entscheiden wer sich hier aus welchen Gründen informiert. Natürlich ist der Verbraucher Kernzielgruppe, aber ComputerBase berichtet seit Jahren bewusst und qualifiziert auch immer wieder aus Teilbereichen des professionellen Umfeldes. Dementsprechend sammeln sich hier auch Leute, die dies interessiert.
Ob Dir das nun passt - oder Du das für sinnvoll hältst, ist alleine deine Meinung.

Wenn eine Firma sich die Fachkräfte bzw. das Consulting dann aber sparen will, dann muss sie eben mit suboptimalen Lösungen leben.

Darum geht's überhaupt nicht. Einfache Firmensoftware setzt in den seltensten Fällen mehr als einen halbwegs starken DualCore voraus. Wieso in Gottes Namen sollte ein VM Admin dann 4C/8T VM's schalten? Das treibt die Serverkosten für Null-Nutzen ins unermessliche. Aber ich denke dir fehlt hier schlicht die Erfahrung im professionellen Umfeld.
In the Internet, no one knows you're dog, pal.

Überhaupt, was ist denn jetzt dein inhaltliches Argument? Firmen sollten überdimensionierte Hardware einkaufen - um dann nicht Gefahr zu laufen bei Sicherheitspatches von Intel keine ausreichende Leistung mehr zu haben? Ansonsten selbst Schuld. Ernsthaft?

An der Supporthotline vor allem billige Hiwis die keine Ahnung haben müssen, sondern nur die Anrufer beruhigen und vertrösten können müssen.

Jo, gute Einstellung. Untere Arbeiter sind sowieso nur Hiwis. Spricht für sich selbst. Sozialkompetenz wird bei Dir jetzt nicht allzu groß geschrieben? Die Leute die im Park Scheisse picken sind ja auch nur Versager. Wenn man dann aber im Stadt auf einen Hundehaufen tritt, wird über Stadt und Hundehalter geschimpft. Merkste was?

Jeder sollte froh und dankbar sein, dass es Leute gibt, die diese Jobs machen. Und Hiwis sind das mit Sicherheit nicht, sondern Menschen. Wie Du und ich. Und mit Sicherheit auch nicht mehr oder weniger Wert als einer von uns beiden.

 

[xexex]

Überhaupt, was ist denn jetzt dein inhaltliches Argument? Firmen sollten überdimensionierte Hardware einkaufen - um dann nicht Gefahr zu laufen bei Sicherheitspatches von Intel keine ausreichende Leistung mehr zu haben? Ansonsten selbst Schuld. Ernsthaft?

Sorry aber vieles davon was du hier von dir gibst ist ziemlicher Quatsch!

Die Updates wurden seitens Microsoft auf den Serversystemen bewusst nicht automatisch aktiviert und für alle relevanten Server gibt es genaue Risikobewertung.

https://support.microsoft.com/en-us...to-protect-against-speculative-execution-side
https://support.microsoft.com/en-us...e-protect-sql-server-against-spectre-meltdown

Ja es gibt eine Gefahr und vor allem gemischte VM Umgebungen, bei denen verschiedene Serverkategorieren auf einem Host untergebracht sind, sind von der potentieller Gefahr betroffen.

Auf der anderen Seite sind IT Umgebungen zu komplex um sie hier mal eben von einem CB Redakteur auch nur ansatzweise abzudecken. Server werden in solchen, von mir genannten Umgebungen, auch nie an ihrer Leistungsgrenze betrieben, so dass die Auswirkungen vermutlich so gut wie nie spürbar sein werden.

Wie viele Firmen im SMB Umfeld setzen denn noch auf schnarch langsame SAS/SATA Raids? Wie viele davon haben bereits auch schnelle PCIe SSDs umgestellt? Wie viele haben per Fibre Channel oder iSCSI angebundene Storagesysteme in der Benutzung?

Grundsätzlich kann man auf der Storageebene eines sagen. Wer SAS oder SAN einsetzt wird durch Spectre/Meltdown keine Auswirkungen spüren. Wer PCIe SSDs einsetzt hat im Vergleich zu einer RAID Lösung so viel Leistung über, dass es ebenfalls zu vernachlässigen ist. Speziallösungen die ihre Server an der Leistungsgrenze betreiben, sollten die nötigen Kapazitäten haben um ihre Server entsprechend aufzuteilen.

Wir setzen bei uns im Unternehmen seit etwa zwei Jahren nur noch PCIe SSDs ein und verkaufen an unsere Kunden zu 90% auch nur noch solche Systeme. Meinst du auch nur einer dieser Kunden würde merken wenn er statt der 600k IOPS einer Intel DC P4500 nur noch 400k IOPS bekommen würde? An solche Werte kommen SMB Lösungen praktisch nie heran und bisher kam man mit nicht einmal 1k IOPS auch wunderbar zurecht.

 

[mambokurt]

Ob man das in der Realität merkt? Wo werden den die 4K werte benötigt?

Ja und da wo Laufwerke schon immer schwächeln, beim Kopieren kleinerer Dateien von A nach B. Ein Backup deiner Systempartition oder Musiksammlung/Fotosammlung braucht dann halt länger. Isos oder Filme kopieren nicht (aber das ging eh schon immer fix). Das sind Größenordnungen bei denen man sich echt überlegen muss ob einem die Sicherheit das wert ist. Super Intel -.-

 

[Iscaran]

@sun_set_1: Gibs auf - gegen die Engstirnigkeit so mancher Foristen hier ist es unmöglich anzukommen. Siehe auch Holts kommentar zu einem aus dem zusammenhang gerissenen Satz von mir weiter oben.

Ich für mich beende die Diskussion darüber warum CB über welche Themen berichtet und überlasse es CB diese Themen zu wählen nach ihren Kriterien, welche sich offensichtlich NICHT aus den Daten der Hardware/Softwaresurvey der PCs ihrer Leser ergeben.

 

[mambokurt]

Die Quitessenz deiner Aussage ist also eine Firma soll ihre Server ungepatcht lassen, insofern die Clients sicher sind?
Ganz hervorragend, deine fachlich überlegene Qualifizierung zu diesem Thema hinsichtlich meiner Person, geht aus dieser Denkweise ganz klar hervor.

Steht da nicht. Da steht auf gut deutsch wenn sich auf deinen Server mit drölf VMs niemand verbindet und der nur vor sich hin rechnet ist er save. Ist auch so.

Ansonsten fahr mal 2 Gänge zurück, das ist ja nicht mehr feierlich wie du hier jedes Wort auf die Waage legst und aus jedem Nebensatz einen persönlichen Angriff konstruierst. Der gute Mann hat nur seine Meinung im Netz verbreitet(und die las sich nicht komplett bescheuert sonst würde ich nichts sagen), man kann das alles konstruktiv bereden ohne sich wie im Affenstall mit Kacke zu bewerfen -.-

 

[Slizer1]

Da bin ich mal gespannt ob ich etwas merke wenn ich ein Sicherungsbackup erstelle. Werde ich dies bemerken bei der Erstellung des Images ?

 

[Begu]

Wer PCIe SSDs einsetzt hat im Vergleich zu einer RAID Lösung so viel Leistung über, dass es ebenfalls zu vernachlässigen ist. Speziallösungen die ihre Server an der Leistungsgrenze betreiben, sollten die nötigen Kapazitäten haben um ihre Server entsprechend aufzuteilen.

Die zwei Sätze wollen einfach nicht in mein Hirn.
Man kauft sich als Serverbetreiber soviel Leistung wie man braucht + x% Reserve für die Zukunft. So etwas wie "Leistung übrig haben" gibt es meiner Ansicht nach nicht.

Das Argument "Der Standard Nutzer merkt es nicht" halte ich auch für totalen Quatsch. Der Standard Nutzer kauft auch einen 8700K eben weil der Balken länger ist als beim 1800X, obwohl der "Standard Nutzer" den Unterschied nicht merkt.