※ 本文為 JackLee5566.bbs. 轉寄自 ptt.cc 更新時間: 2018-01-06 16:28:03
看板 PC_Shopping
作者 標題 Re: [情報] Intel嚴重漏洞 OS更新將會降低效能
時間 Fri Jan 5 18:06:51 2018
假定你希望知道你老闆最近在哪裡出差,但是按照公司規定,你是無法知道老闆行
蹤的。所以你決定嘗試竊取這個秘密。
於是,你給老闆的秘書打電話說「你能不能幫我查下老闆的日程,看看老闆在哪裡出差,
再幫我去公司客戶關係管理系統裡面查下,看看那邊我名下近期需要拜訪的重點客戶,
這些可能是需要老闆幫忙拜訪的。」
秘書很敬業,先是查了老闆的日程,發現老闆在台北;然後又花了幾分鐘時間從客戶關
係管理系統裡把近期需要拜訪的台北重點客戶名單拿出來。這時,她突然反應過來你是
不應該知道老闆現在在哪裡的。於是她回電話告訴你「不好意思,我覺得你不應該瞭解
老闆去了哪裡。」
係管理系統裡把近期需要拜訪的台北重點客戶名單拿出來。這時,她突然反應過來你是
不應該知道老闆現在在哪裡的。於是她回電話告訴你「不好意思,我覺得你不應該瞭解
老闆去了哪裡。」
你回復道:「那好吧,忘記剛才的一切,現在我想查詢一下有哪些台北、台中、台南、
台西的重點客戶是我近期需要拜訪的?」
因為秘書剛剛已經從系統裡查到了台北對應的客戶,並且你有權限瞭解這些,她立即就回
答你:「近期需要拜訪的台北重點客戶有A,B,C…….」,幾分鐘後,她再補充:「近期需
要拜訪的台中、台南、台西重點客戶…….」
答你:「近期需要拜訪的台北重點客戶有A,B,C…….」,幾分鐘後,她再補充:「近期需
要拜訪的台中、台南、台西重點客戶…….」
通常情況下,從系統裡面調取出這些信息需要好幾分鐘,但是秘書能立即告訴你台北的客
戶信息,於是你就知道剛才她在客戶關係管理系統裡查詢的地點是台北,所以你就可以推
測得到老闆是在台北出差。最終,秘密就這樣洩露了。
戶信息,於是你就知道剛才她在客戶關係管理系統裡查詢的地點是台北,所以你就可以推
測得到老闆是在台北出差。最終,秘密就這樣洩露了。
CPU執行的過程,有一個很重要的加速優化技術叫做「speculative execution」, 其實就
和以上比喻中秘書的工作方式一樣, 她只有在告訴你結果的時候,才發現你不應該瞭解
這個信息。但是此時,通過下一步執行結果的速度變化, 仍然有可能暴露重要的信息,
這就是所謂的」time based side channel attack(基於時間的旁路攻擊)」。
和以上比喻中秘書的工作方式一樣, 她只有在告訴你結果的時候,才發現你不應該瞭解
這個信息。但是此時,通過下一步執行結果的速度變化, 仍然有可能暴露重要的信息,
這就是所謂的」time based side channel attack(基於時間的旁路攻擊)」。
Intel的CPU在伺服器市場可能佔據了99%,一旦它出了問題,就意味著有很多服務
器上的敏感數據都可能洩露。 因此這是一次非常嚴重的安全事故,有可能比Heartbleed
更嚴重。
所以,似乎也解釋了為啥軟體更新後會引起性能的下降。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.115.199.137
※ 文章代碼(AID): #1QJqu-aM (PC_Shopping)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1515146814.A.916.html
※ 同主題文章:
01-05 11:42 ■ Re: [情報] Intel嚴重漏洞 OS更新將會降低效能
01-05 17:05 ■ Re: [情報] Intel嚴重漏洞 OS更新將會降低效能
● 01-05 18:06 ■ Re: [情報] Intel嚴重漏洞 OS更新將會降低效能
01-06 00:20 ■ Re: [情報] Intel嚴重漏洞 OS更新將會降低效能
推 : 精闢1F 01/05 18:11
推 : 喔喔 這篇比套餐好懂XD2F 01/05 18:12
推 : Ok 這很科普3F 01/05 18:13
推 : 套餐下面這篇跟寄物櫃的才比較對 結果套餐最多推4F 01/05 18:13
推 : push5F 01/05 18:17
推 : 推推6F 01/05 18:23
→ : amd說他們是禁止speculative reference 到kernel me7F 01/05 18:25
→ : moery的
→ : 也就是說只有intel的秘書不會查證身份就去查資料
→ : moery的
→ : 也就是說只有intel的秘書不會查證身份就去查資料
推 : 壞壞總裁&Intel秘書10F 01/05 18:27
推 : 會不會可以寫成電影劇本了XD intel失荊州11F 01/05 18:28
→ : 能不能寫個三國的!12F 01/05 18:30
推 : 話說目前好像都看到的是在講Meltdown的 有Spectre的13F 01/05 18:30
→ : 嗎
→ : 嗎
推 : 這就是為啥他的商業用戶現在很緊張的原因 很麻煩15F 01/05 18:31
推 : 推16F 01/05 18:32
推 : pusheen 我是說push17F 01/05 18:33
推 : 推推18F 01/05 18:33
→ : 是說..如果早就被利用漏洞的話 現在只是知道怎麼死19F 01/05 18:33
推 : 懂了20F 01/05 18:35
推 : 這篇是Spectre吧? 置物櫃是Meltdown吧?21F 01/05 18:36
→ : 這篇還是meltdown吧22F 01/05 18:38
推 : 其實應該就像是資料在不在CPU快取的概念?23F 01/05 18:39
推 : 推24F 01/05 18:43
推 : 推25F 01/05 18:49
推 : Spectre的話你不能指定要老闆的資料,只能碰運氣26F 01/05 18:59
→ : 亂指定來碰運氣
→ : 亂指定來碰運氣
推 : 第一屆INTEL作文大賽正式開始28F 01/05 19:00
推 : 猛29F 01/05 19:02
推 : 感謝說明30F 01/05 19:08
推 : 感謝說明@@31F 01/05 19:10
推 : 霸道總裁俏秘書之我想上你啊32F 01/05 19:15
推 : 所以補漏洞的方式是搜尋前先檢查許可,才會導致性能33F 01/05 19:16
→ : 下降嗎?
→ : 下降嗎?
推 : 終於看懂了!35F 01/05 19:18
→ : 可以著重在總裁怎麼攻略俏秘書嗎?36F 01/05 19:18
→ : 要比之前多做一件事情就是會比較慢阿37F 01/05 19:19
推 : 簡單易懂 推推38F 01/05 19:21
→ : 所以不是老闆的錯,是秘書的錯,intel可以解套了39F 01/05 19:25
→ : 都是秘書的錯 只好把祕書抓來嘿嘿嘿了40F 01/05 19:26
推 : 推啊41F 01/05 20:03
推 : 公司之外沒有祕書 所以對一般使用者有沒有大影響?42F 01/05 20:05
→ : 瀏覽器板看到Chrome為了堵漏洞會增加記憶體用量等等
→ : 瀏覽器板看到Chrome為了堵漏洞會增加記憶體用量等等
推 : 還加啊,chrome還不夠肥這樣44F 01/05 20:27
→ : 逼你買RAM的計毛45F 01/05 20:28
推 : Chrome那個應該是為了Spectre46F 01/05 20:34
推 : 推!這篇更好懂!47F 01/05 20:38
推 : 推!ptt廢文海中的清流48F 01/05 20:56
推 : 推,很清楚49F 01/05 21:05
推 : 推50F 01/05 21:13
推 : 推51F 01/05 21:18
推 : 這篇超精簡的52F 01/05 21:39
推 : 這篇精闢~53F 01/05 22:19
推 : 推 這篇很好理解54F 01/05 22:31
推 : 難怪秘書都被就地正法55F 01/05 22:34
推 : 精闢~56F 01/05 23:10
推 : 推57F 01/05 23:13
推 : 了解58F 01/05 23:35
推 : 問個問題 如果是利用微小的時間差比對來確認並獲得59F 01/05 23:45
→ : 重要資料 那麼跟HPET有關嗎?
→ : 重要資料 那麼跟HPET有關嗎?
推 : 只有我注意到 台西 嗎?61F 01/05 23:52
推 : 推62F 01/06 00:06
推 : 推63F 01/06 00:08
推 : 秘書圖勒?64F 01/06 00:21
推 : 鄉民臥虎藏龍65F 01/06 01:27
推 : 恩66F 01/06 01:47
噓 : 現在取用別人給的例子都不用註明出處了?67F 01/06 02:01
推 : 好懂 所以民主會有代價68F 01/06 02:14
→ : 看推文才知道不是原作 原PO加個出處比較好歐69F 01/06 02:33
噓 : 抄襲喔72F 01/06 05:13
推 : 簡單易懂推73F 01/06 06:55
→ : 抄襲別人所以要補噓嗎?74F 01/06 07:59
噓 : 補噓
噓 : 要致敬也補下參考來源,不是的話再補回來
噓 : 補噓
噓 : 要致敬也補下參考來源,不是的話再補回來
噓 : 嘖嘖77F 01/06 13:41
推 : 推78F 01/06 13:53
--
回列表(←)
分享