News Linux-Spectre-V2-Patch: 50 Prozent weniger Leistung oder SMT deaktivieren

[cbtestarossa]

@emulbetsup
Klar ist Lieschen Müller damit überfordert. Aber alles gleichzeitig im Browser laufen lassen ist noch unsicherer.
Alles Port 443 und JS. Tolle Wurst.
Hätte ich getrennte Apps könnte ich sogar nach IP/DNS blocken wenn nicht sogar nach Ports.
Und Rechte braucht ein Browser auch.
Und was die Browser default quasseln und aktiviert haben wissen wir, aber Lieschen nicht.
Naja eh egal. Ich schalte JS nur noch im Notfall ein. Blocke alles was geht.

@Muxxer
Wenn dir 8 echte Kerne vom Ryzen nicht reichen dann kauf TR oder Epic.
Wobei man schauen müsste welche AMD CPU schon Ramverschlüsselung bietet.
Kann man sicher mal brauchen.

 

[smart-]

Entweder ist ein System sicher oder Kompromittiert. Es gibt kein "Mein System ist zu 3/4 Sicher".

Das ist doch auch falsch. Es gibt kein sicheres System.

 

[FreddyMercury]

Nur weil heute alles in JS gemacht wird bedeutet noch lange nicht das es der Weisheit letzter Schluss...

ich hab llange genug JavaScript und andere script sprachen benutzt und kann mit gutem Gefühl sagen das JS das beschissen*** ist was ich jemals gesehen habe. Dank JS haben wir cross site scripting auf dem desktop. Das ist doch genau das was man haben möchte. Gibt noch ein paar weitere Gründe, aber ich bekomme schon wieder hohen Blutdruck.

 

[mkdr]

Ich hoffe doch sehr, Microsoft macht nicht den selben Fehler, und bringt ein Zwangs-Patch raus, der HT deaktiviert, oder bietet wenigstens eine Option an, dass man darauf verzichten kann. Denn ich brauche und will keine der ganzen Spectre und Meltdown "Protection" auf meinen Heim-PCs und Tablets.

 

[cbtestarossa]

@FreddyMercury

Naja und was man sonst noch so mit JS treiben kann sehen wir tag täglich.
Ich gehe sogar noch weiter und würde mir wünschen dass alle Browser per default gar nichts mehr senden würden.
Eventuell die momentane oder max. Auflösung. Sonst nichts.
Kein Referer. keine installierten Schriftarten, kein OS, keine Browserversion, NIX NADA.
Dient eh nur dem Tracken. Der Mist gehört gestopt.
Und JS gehört gesundgeschrumpft oder besser gleich eingestampft.

Ein WWW lite, das wäre es.
Ohne den ganzen Ballast.
Browser wären schlank, pfeilschnell und sicherer.
Aber das Problem mit Werbung wäre immer noch existent.

@mkdr
Ich denke der Meltdown Patch ist wichtig und frisst wenig Leistung.
Spectre braucht mehr Power und da gibt es verschiedene Ansätze.
Aber ich könnte mir vorstellen dass mit Win10 mal ein Patch ausgerollt wird den niemand mehr abdrehen kann.

 

[nurmalkurz]

Wer ist der "Linux-Chef"?
Die Ausdrucksweise ist ja mehr wie verfehlt.

Schreibt doch einfach, der führende Kernel-Entwickler, ... aber "Linux-Chef"...das ist ja lächerlich. Das ist nur einer von vielen.

 

[Apocalypse]

So macht der 9600k und 9700k natürlich Sinn.

 

[ActionNews]

T-ripper mit 16 kernen kaufen SMT off und thema erledigt, sollte doch dann sogar schneller sein als n 8kerner mit smt, oder ???
Somit hätte ich endlich nen Grund nen T-ripper zu holen.
Kann mir das so jemand bestätigen oder hab i nen denkfehler ?

Wieso sollte ich SMT deaktivieren auf Threadripper oder Ryzen? Soweit ich weiß ist AMD nicht von der HyperThread-Lücke betroffen.

 

[mambokurt]

Ich würde dann mal vermuten, daß die meisten diesen Patch nicht installieren werden.

Der Patch ist momentan standardmäßig im Kernel enthalten und aktiviert, das war ja eben das Thema das opt-in zu machen statt opt-out. Wer Infrastruktur fährt die gefährdet ist hat das Knowhow Smt gleich abzuschalten oder die Patches anzuknipsen, um nichts anderes ging es auch in Linus Post, dass das halt nicht default an sein sollte.

Ergänzung (21. November 2018)

Wieso sollte ich SMT deaktivieren auf Threadripper oder Ryzen? Soweit ich weiß ist AMD nicht von der HyperThread-Lücke betroffen.

Neulich kamen wieder neue Lücken aus der Richtung, diesmal so ziemlich alle betroffen (sigh), die Patches dafür werden wohl auch erst noch kommen. Der Weg den OpenBsd gegangen ist Smt erstmal pauschal abzuschalten dürfte wohl mittelfristig der gangbarere Weg sein solange da alle paar Wochen neue Lücken aus der Richtung kommen...

Edit:
https://www.heise.de/newsticker/mel...ue-Varianten-von-Spectre-Luecken-4220854.html

 

[Sly123]

Intel hat bei Notebook CPUs leider vergessen, mehr als Dual Core + HT anzubieten

Ich hoffe mal, dass das ironisch gemeint war.
Intel bietet seit 2011(Sandy Bridge) Mobile-CPUs mit 4C/8T an.
Ich selber habe ein Notebook Baujahr 2014 mit 4C/8T Haswell(47W TDP).
6C hat sich aber noch nicht durchgesetzt aber dafür gibt es 4C/8T mit 15-25W TDP.

 

[alQamar]

Was an mir als Laie bei der gesamten Berichterstattung bisher vorbeigegangen ist: Ist das alles ein Problem für Privatnutzer für ihren Spiele- und Heimbüro-Rechner?

IT depends (tm) Es gibt durchaus das Potential das Browser Scripte solche Lücken ausnutzen können und wenn ich leute kenne die 3 instanzen von Chrome laufen lassen, und in jeder knapp 70 tabs ist es auch nicht unwahrscheinlich das so ein schadhaftes Script (z.B. über ein Werbenetzwerk oder kompromitierte offizielle Seiten) längere Zeit ausgeführt wird um daraus nutzen zu schlagen.

 

[Miuwa]

Für das Betriebssystem sind alle Kerne gleichwertig, es teilt also die anfallenden Aufgaben dynamisch allen verfügbaren Threads zu. Dabei passiert es immer wieder, dass die 4 Threads beispielsweise so aufgeteilt werden, dass nur 2 Kerne belastet werden (zu je 2 Threads), während 4 echte Kerne mit 8 Threads "brach" liegen. Während also 4 echte Kerne "nix" zu tun haben, mü

Sollte eigentlich nicht passieren. Das OS weiß normalerweise sehr gut, welche "virtuellen" kerne auf dem selben Hardwarecore laufen und welche nicht. Das heißt natürlich nicht ,dass der Scheduler perfekt arbeitet.

 

[Iscaran]

Übrigens wer nicht glaubt dass es schon kursierende Browser-Exploits gibt für Spectre/Meltdown-artige Attacken:
https://alephsecurity.com/2018/06/26/spectre-browser-query-cache/
Könnt ja mal testen - älteren Browser nehmen ohne den Jittered-Timer patch und den "exploit" von aleph laufen lassen :-).

Bei Aleph werden übrigens auch schon beispiel gezeigt wie man die eine oder andere "Software Mitigation" (wie z.B. eben den Jittered-Timer umgehen kann.

Also die Exploits sind alles andere als virtuell - schwer ist es halt damit echten Datenabfluss oder Hacks nachzuweisen da die Attacken NULL spuren hinterlassen.

 

[Idon]

IT depends (tm) Es gibt durchaus das Potential das Browser Scripte solche Lücken ausnutzen können und wenn ich leute kenne die 3 instanzen von Chrome laufen lassen, und in jeder knapp 70 tabs ist es auch nicht unwahrscheinlich das so ein schadhaftes Script (z.B. über ein Werbenetzwerk oder kompromitierte offizielle Seiten) längere Zeit ausgeführt wird um daraus nutzen zu schlagen.

Danke. Das entspricht in etwa meinem Nutzungsprofil. Zwei Instanzen Chrome und jeweils 40-80 Videos, wobei eine Instanz lediglich YouTube-Videos offen hat. In der anderen Instanz aber "normale" Tabs.

Was ist für mich nun die Konsequenz? Sollte ich Hyperthreading meines i7-5820k deaktivieren? Wie geschrieben, als Laie fällt es mir mittlerweile schwer den Überblick zu behalten, vor allem aber für mich relevante Reaktionen herauszufiltern.

 

[exuser0815]

Es reicht. Mein alter 6700k kommt auf Ebay, und mein Debian darf sich ueber einen Ryzen 2600 freuen.
Selbst wenn ich beim AMD in Zukunft mal SMT deaktivieren muss, hab ich immerhin 2 Kerne mehr fuer die VMs.

 

[pseudopseudonym]

Ein Schelm der Böses bei denkt, in Anbetracht dessen dass W10S auf einem 12 Jahre alten Laptop mit 2GB und SSD läuft wundert es mich irgendwie nicht. Es müssen doch auch mal neue Prozessoren verkauft werden, versteht das doch bitte.

Nja, es bootet vielleicht und taugt als bessere Schreibmaschine. Aber damit arbeiten?!

 

[dopex]

Wer ist der "Linux-Chef"?
Die Ausdrucksweise ist ja mehr wie verfehlt.

Schreibt doch einfach, der führende Kernel-Entwickler, ... aber "Linux-Chef"...das ist ja lächerlich. Das ist nur einer von vielen.

Linus Torvalds ist der Chef. Auch wenn es viele andere gibt die Entscheidungen treffen können was in den Kernel kommt (im Bezug auf die Subsysteme), so bleibt er immer noch der Schirmherr über den Kernel als Ganzes.

 

[Miuwa]

Nur die Frage ist, wenn ich eh schon Software installiert habe die Schadcode enthält, da muss ich nicht den Umweg über Meltdown/Spectre gehen, da kann ich direkt alles mögliche manipulieren und auslesen.

Stimmt nur bedingt. Im Normalfall kann ein Programm ja nur auf den eigenen Speicherbereich zugreifen. Meltdown erlaubt es eben auch (in beschränktem Maße) auf die Daten im Addressraum anderer Prozesse zuzugreifen.

 

[druckluft]

Stimmt nur bedingt. Im Normalfall kann ein Programm ja nur auf den eigenen Speicherbereich zugreifen.

Ist das bei 'gewohntem' Schadcode wirklich so?

Sorgen mache ich mir als Privatanwender (bzw jemand der auch beruflich produktiv mit seinen Systemen arbeitet) dann wenn es vermehrt zu Angriffen in der Praxis kommt.
Die Abwägung lautet: 'Welche Einschränkungen (Geschwindigkeitseinbußen) muss ich in Kauf nehmen' vs 'Wie hoch ist die Wahrscheinlichkeit von einem Angriff betroffen zu sein'.
Abwägungen dieser Art trifft jeder Mensch täglich vielmals und es bleibt immer ein Restrisiko.
Wenn ich Unternehmen Rechnerkapazitäten vermiete, sieht das ganze natürlich anders aus. Das Risiko dass der Schadensfall eintritt dürfte deutlich höher liegen und die Schadenssumme im Zweifel existenzbedrohend.
Wie auch immer für mich ist es wichtig, bei dem Thema informiert zu bleiben und vor allem dass es Leute gibt die an Lösungen arbeiten.

 

[Miuwa]

Was ist für mich nun die Konsequenz? Sollte ich Hyperthreading meines i7-5820k deaktivieren? Wie geschrieben, als Laie fällt es mir mittlerweile schwer den Überblick zu behalten, vor allem aber für mich relevante Reaktionen herauszufiltern.

Ich glaube nicht., dass die das hier jemand endgültig beantworten kann. Erstens sind hier vermutlich kaum/gar keine echten Sicherheitsexperten unterwegs und zweitens kennt keiner dich, dein Surfverhalten oder was auf deinem Computer läuft/gespeichert ist.

Ich werd's bei mir nicht abschalten, aber ich laste auch immer wieder mal alle Kerne aus.

Letztendlich hat man immer eine Abwägung zwischen Sicherheit und Komfort und Kisten und leider kann man weder Sicherheit noch Komfort in eine einfache Zahl packen (Verzichte auf x% Komfort und bin dafür y% sicherer gibt es selten - übrigens ist das z.B. bei einem Haus nicht anders).