L1TerminalFault schrieb:
Theo de Raadt (BSD Entwickler) rät von Intel CPUs ab!
Sehr schön, dass Du den Ball für mich ins eigene Tor versenkst. Da lagen wir mit der Theorie und meiner möglichen Erklärung (wenn man tiefer gräbt) doch garnicht so schlecht. ->Gekränkte Eitelkeit
OpenBSD-Mastermind Theo de Raadt ist für klare Worte bekannt und hat Intels Umgang mit Meltdown, Spectre und Spectre-NG bereits deutlich kritisiert. Auf der Konferenz BSDCan 2018 in Kanada hatte de Raadt am vergangenen Samstag abermals Intel beschuldigt, mit Informationen zu Spectre-NG hinterm Berg zu halten. Dabei erwähnte er Details zu dem
Bug Lazy FP State Restore (CVE-2018-3665), die letztlich dazu führten, dass dieser Fehler vorzeitig veröffentlicht wurde. De Raadt kritisiert auch, dass die Frist bis zur Veröffentlichung des Bugs viel zu lange angesetzt worden sei.
Wenn man sich die Historie ein wenig weiter ansieht, ist er einfach nur beleidigt, dass ihm keiner eine Krone auf den Kopf gesetzt hat bzw. sich nicht entsprechend seiner eigenen wahrgenommenen Wichtigkeit geschätzt und auf ihn reagiert hat.
The situation is very complex, continually evolving, and is taking too
much manpower away from other tasks. Furthermore, Intel isn't telling
us what is coming next, and are doing a terrible job by not publically
documenting what operating systems must do to resolve the problems.
...
So please try take responsibility for your own machines: Disable SMT in
the BIOS menu, and upgrade your BIOS if you can.
https://marc.info/?l=openbsd-tech&m=153504937925732
Da hat ihn die Angst getrieben, dass er mit seinem als besonders sicher geltendem Betriebssystem was um die Ohren fliegt, von dem er noch keine Ahnung hat. Offensichtlich wusste/weiss er auch nicht, wie die Lücke funktioniert. Ansonsten müsste er nicht auf Aussagen von Intel warten oder andere Betriebssysteme ausschnüffeln, wie diese gehärtet werden.
Punkt 2:
Greg Kroah-Hartman warnt vor
Hyper-Threading (SMT). Dieses Hardware Problem seitens Intel ist brandgefährlich. ... Sehr kluge Leute, die richtig Ahnung haben, weisen auf das Problem hin und einige haben nichts anderes zu tun, als Software aufzuführen, die angeblich noch mehr Lücken hätten.
Da hast Du Dir ja wieder einen von sich selbst überzeugte, wenn auch in manchen Gebieten (zufälligerweise gerade zu unserem Thema) unfähige Person rausgesucht. Nächster Ball, den Du mir direkt vors Tor spielst:
Ich zitiere (zu seinem mehr als peinlichen Spectre Patch- Versuch, der genau das Gegenteil bewirkt hat):
Vielmehr hat der für die meisten stabile Zweige zuständige Entwickler Greg Kroah-Hartman
nicht nur den fehlerhaften Patch übernommen, sondern offenbar auch versucht, die Compiler-Warnung durch ein Vertauschen von Codezeilen zu beheben.
https://www.golem.de/news/linux-kernel-entwickler-verhauen-einfachen-spectre-fix-1909-143628.html
Der scheint ja gerde diesbezüglich wirklich sehr viel Ahnung zu haben. Und solchen Leuten vertraust Du und hebst Du auf ein goldenes Podest? Must Du selbst wissen...
Alles in allem ist es unter Anderem mein Job, diese Systeme auf Anfälligkeiten zu testen.
Insofern können wir gerne einen fachlich sauberen Diskurs zum Thema führen.
Diesbezüglich bist aber zumindest Du meilenweit von einer sachbasierten Diskussion weg, der machst hier in irgendeiner Art und Weise klar, welche Expertise Du vorzuweisen hast.
Esseidenn Du nimmst den von Dir selbst gewählten Namen als "Visitenkarte".
In mir löst Dein Username und der Argumentationsstil aber eine Assozation von Hähme aus, denn von ernsthafter Auseinandersetzung mit diesem Thema.
Ich habe hier im Gegensatz zu Dir schon handfestes Material geliefert, welches belegt WARUM ich (inkl. diverser Teams) zu den Risiko- Einschätzungen gekommen bin (sind).
Und ich geb Dir einen Tipp- Sei nicht so Obrigkeitshörig.
Linux, BSD (und was weiss ich was für Entwickler) sind auch nur Menschen - Und hinter den Personen stecken erstaunlich oft Leute mit offensichtlicher Profilierungssucht, Profilneurosen und einem bedingungslose Kampf gegen konkurrenz- Betriebssysteme oder Hersteller, wenn die nicht sofort auf jedes Quaken eines Entwicklers reagieren (NVIDIA Fuck you! Sag ich da nur).
Wieviel Politik und Konkurrenz da oft auch manchmal dahintersteckt, kannst Du in jedem Entwicklerforum erleben.
Und mein Job ist es unter Anderem genau den Mist, den sie mit ihren Systemen verzapfen zu prüfen und den Firmen, die das einsetzen eine Risikobewertung zukommen zu lassen.
So gesehen stehe ich also auf DEINER Seite! und sorge dafür, dass auf Gefahren aufmerksam gemacht wird.
ich stehe nur nicht drauf, wenn man aufgrund von Presse und einigen Lautstarken ein verschrobenes Bild von "Risiken" bei der Nutzung von Computern erhält.
Jedes OS stellt ein 1000x größeres und schwerwiegenderes Risiko in unendlich vielen Modulen, Bibliotheken, Treibern etc. zur Angriffsfläche nach außen, als die Schwachstellen, von welchen wir hier reden.
Grüße
Zero
