Das Haupteinfallstor bleibt hier so oder so der Browser, bzw. eben der JavaScript Interpreter. Wenn hier die Browser Hersteller ihre Hausaufgaben machen, sehe ich auch bald darin keine große Gefahr mehr. Das ganze Problem ist einfach, dass die Lücke seit Juni scheinbar Intel bekannt ist, man jetzt aber das Gefühl hat, dass einfach schnell was raus geklopft wird. Ich glaube auch, dass sich das ganze, ohne die jetzigen teilweise extremen Performance Einbrüche weg bügeln lässt.
Was im übrigen noch kaum Bedeutung findet, ist ein Test der Netzwerkperformance. Bei einem 1G Interface wird sich wohl kaum was tun, aber wie sieht es hier mit 10G aus? Bzw. was passiert bei vielen Syscalls, wenn ich z.B. aus dem Netzwerk hohen Traffic habe, der wiederum auch viel Disk IO erzeugt. Ich bin mal gespannt, was das für einige Serversysteme bedeutet.
Für den Privatanwender halte ich die Performance Einbrüche für nicht so schlimm, die Frametimes sind mir selbst auch wichtiger als einfach nur hohe FPS, aber scheinbar trifft es hier Games die sowieso schon alles andere als Optimal liefen. Ich halte aber ebenso die Sicherheitslücken für Privat Anwender nicht so schlimm, als dass man hier auf biegen und brechen die Performance opfern müsste.
Man muss zusehen, dass die Software welche die naheliegenden Einfallstore bietet, genug gegen die Attacke gehärtet sind. Im Prinzip ist das Hauptsächlich Browser und ggf. Mail Client, halt alles was aus unsicheren Quellen irgendwas nachladen kann.
Deswegen sehen die wenigsten ja auch eine Gefahr bei IoT Devices, zumindest dann, wenn diese nicht halt andere Lücken haben, über die man z.B. einfach so Code einschleusen kann.
Es ist halt nur traurig, dass gerade Intel bei der Sprungvorhersage zum Teil bewusst auf Validieren verzichtet, nur um da Transistoren zu sparen bzw. um mehr Geschwindigkeit zu erreichen. Was man Intel auch vorwerfen kann, dass man 6 Monate Zeit hatte, nun aber reagiert als ob sie das total überrascht hätte.
).
