MDS-säkerhetsuppdateringarna drabbar Intel fem gånger hårdare än AMD

Funderar på stora datorcenter där denna typ av prestandaförlust är signifikant... när blir det tal om att det är för mycket och kompensation från Intel börjar krävas...

Ignorera att slå på "skydden". Förmodligen kommer de i en patch dock så kan vara svårt. Och för servercenters osv så VILL man nog inte låta bli att aktivera dem.

Det går inte så lysande för Intel nu, känns som att en ny arkitektur än core är på plats.

Tänker på dom nya 10 kärniga skylake +++++++

Det går bra nu intel ^^ 10nm problem, inte haft nå nytt på extremt länge utan bara petat i någon extra kärna här å var och nu detta!? Förstår varför Intel vill in på GPU marknaden då dom helt ärligt har nog större chans där än på CPU fronten just nu med kommande zen 2!

Skickades från m.sweclockers.com

Intels processorer blir rena skräpet med detta ju. Det liksom.. går inte. Jag kommer inte köra med dessa på så länge det finns en opt-ut.

Men på ens Macbook är det Apple som bestämmer och frågan är vad de kommer göra nu. Kommer de t.ex. slå av HT!??

Det var ju ingen rolig läsning alls för de som har Intel i burken kan man ju knappast säga. Frågan är ju nu om folk kommer börja strunta i säkerheten för att få den extra prestandan. Alltså om det blir lite Yolo över det hela eller om folk tar smällen. Också intressant att se om folk kanske blir mer välvilligt inställda till AMD nu? För om det gång på gång visar sig att Intel's extra prestanda kommer sig av att de kanske inte är så särskillt säkerhetsmedvetna alls så blir ju AMD ett mer givet alternativ för vissa. Med AMD så är det WYSIWYG medans med Intel så är det "Den här prestandan är den som vi har eller lol i alla fall tills det upptäcks ett säkerhetshål men vi bryr oss mer om prestanda än säkerhet lolol!"

Ja, det är i datacentren detta stället till störst problem. En vanlig "gamer" kan troligen stänga av de fixar som orsakar störst prestandaförlust utan att råka illa ut. Men för datacenter som t.ex. Azure och AWS är det extremt kritiskt att säkerheten är maximal, så kunder inte kan utnyttja dessa säkerhetshål för att komma åt varandras VM eller den underliggande infrastrukturen. Även om risken är extremt liten och prestandaförlusten väldigt stor så har de i princip inget val.

Samtidigt har ju dessa företag gjort kalkyler på exakt hur många server de behöver (och därmed hur många serverhallar o.s.v.), baserat på förväntat nyttjande, antal kunder o.s.v. Försämras prestandan plötsligt med upp till 50% ställer det till enorma problem för dem.

Just fallet renderingsfarm så kan man lika gärna lämna alla fixarna påslagna, de gör väldigt liten skillnad för dessa fall då den typen av program gör minimalt med systemanrop och i stort sätt noll I/O jämfört med CPU-last. Är också därför spel påverkas rätt lite, för att få bra prestanda vill man minimera antalet anrop mot grafikkortet -> få kontext-switchar till kärnan kontra mängden arbete som utförs i spelmotorn -> dessa fixar ger liten påverkan.

Fixarna handlar primärt om att man gör olika saker i övergången mellan säkerhetsdomäner, d.v.s. kontext-switch (både mellan applikationer och VMs), övergång från kernel-space till user-space och liknande.

Är primärt om systemet som har extrem frekvens av små I/O-anrop eller som på annat sätt växlar mellan user-space och kernel-space som får en snyting av dessa fixar.

Spectre variant 1 fixarna bör man inte stänga av. Som tur är går det i praktiken inte heller då dessa fixar måste stoppas in i varje applikation, går inte att fixa generellt i kärnan.

Däremot är det rätt "safe" att stänga av Meltdown (nopti), Spectre variant 2 (nospectre_v2 spectre_v2_user=off), speculative store bypass (spec_store_bypass_disable=off) samt L1$ terminal fault (l1tf=off) för den som inte driver ett hotell för virtuella maskiner på sin dator.

Dessa svagheter kan i praktiken bara utnyttjas när den som attackerar maskinen kan köra valfri programvara lokalt på maskinen (JavaScript duger bara som attackvektor till Spectre variant 1, vilket är orsaken att man ska ha skydd mot det!). När de hänt lär de knappast använda dessa svagheter för att nå "root", finns långt enklare sätt i det läget...

Kanske bäst att avvakta med att slå av skydden för MDS fram till att potentiella attackvektorer analyserats mer. Mycket pekar på att de likt Meltdown/Spectre variant 2 i praktiken kräver att den som attackerar måste kunna köra valfritt program lokalt. Det som är oklart är huruvida JavaScript är en realistisk attack-vektor för MDS, något som är helt avgörande för om det är en relevant attack-vektor för ett typiskt desktop-system.

Som jag förstod det så är det nyaste inget som påvärkar amd, utan det är en svaghet i hur hyperthreding är uppbyggt och fungerar på intel processorer. Även om amd har samma "funktion" så är den uppbyggd på ett annat sätt vilket gör att just denna sårbarhet inte påvärkar amd.

Skickades från m.sweclockers.com

Enligt Intel så var dom inte sårbara, men enligt experterna så var dom extra utsatta.

Det skulle vara intressant att göra om en hel del tester på SweClockers nu. Något som finns i planerna?

Skickades från m.sweclockers.com