Комментарии к публикации «Для устранения Spectre и Meltdown, возможно, придётся создать процессор совершенно нового типа»

14.09.2018 19:35:37 sumanai

sumanai — Fri, 14 Sep 2018 19:35:37 GMT

Ага, особенно когда кошельки реализованы в этом самом браузере.

14.09.2018 16:50:32 DeepFakescovery

DeepFakescovery — Fri, 14 Sep 2018 16:50:32 GMT

нужно просто закрывать браузер, когда пользуешься электронными кошельками или конфиденциальной инфой

14.09.2018 16:50:31 Gargo

Gargo — Fri, 14 Sep 2018 16:50:31 GMT

мне одному кажется, что эти уязвимости всплыли как бы случайно, но на самом деле это очень выгодно производителям процов — когда не смогли выжать нормальную мощность, то пошли лепить 100500 ядер, потом более «экологичные» процы со снижением энергопотребления, а теперь все процы оказывается суперуязвимые — снова тратить деньги

14.09.2018 16:50:28 gitKroz

gitKroz — Fri, 14 Sep 2018 16:50:28 GMT

То есть архитектура процессора не подверженного Spectre и Meltdown ещё не разработана? А как же тогда заявление про Ice Lake на Wiki?

It is expected that Ice Lake will have in-silicon mitigations for the Meltdown and Spectre hardware vulnerabilities

10.09.2018 20:25:33 napa3um

napa3um — Mon, 10 Sep 2018 20:25:33 GMT

Для разработчика не проблема поработать и на уязвимой машине с нормальной скоростью (и с соблюдением гигиены), а у конечного пользователя кроме браузера уже и не осталось ничего :).

10.09.2018 20:12:07 Yo1

Yo1 — Mon, 10 Sep 2018 20:12:07 GMT

в эльбрусе вроде был некий защищенный режим, когда вместе с кодом некий таг процесса передавался. вполне возможно таг спасет…

10.09.2018 19:48:26 0xd34df00d

0xd34df00d — Mon, 10 Sep 2018 19:48:26 GMT

Только в этом случае оно получится только в рамках браузера, а не ещё и компилятора, IDE и числодробилки вдовесок.

10.09.2018 18:30:05 napa3um

napa3um — Mon, 10 Sep 2018 18:30:05 GMT

И получится то же самое замедление производительности, что и при решении на уровне патча микрокода (а так же всё равно решение в браузере не будет полным, «временнОй шум» аппаратуры всё равно будет «протекать» в последовательность выполнения фрагментов приложения). Ведь рандомизировать и замедлить придётся не просто таймеры, а абсолютно ВСЁ, ведь сравнивать скорости различных вычислительных процессов можно и вовсе без таймера (скажем, сравнить, сколько выполнится CSS-анимаций за время отрисовки какого-нибудь хитрого дива, или ещё что-то такое же косвенное).

10.09.2018 08:46:48 Lofer

Lofer — Mon, 10 Sep 2018 08:46:48 GMT

Я слабо представляю, как работают современные процессоры, но неужели нельзя вместо «не читать лишние данные» и «очищать кэш после каждой операции» пойти немного другим путём — «очищать в кэше только те данные, которые не должны были туда попасть»?

Нюанс в том, как именно организована память и ее адресация. Физическая адресация. Кеш вычитывает данные не побайтово, а целыми кусками/страницами.
Такая логика имеет смысл по нескольким причинам причинам:

исполнимый код расположен одним непрерывным куском в памяти,
обрабатываемые данные с большой степенью вероятности расположены последовательно
сменить физическую адресацию памяти занятие не дешевое само по себе (на планках памяти DDR4 CAS Latencies 14- 20 t, DDR3 CL9-CL11 t )

Если тонким слоем «размазать» данные по памяти — производительность сильно упадет.

«очищать в кэше только те данные, которые не должны были туда попасть»

По дизайну именно так и задумано «не должно попасть» — все нарезано на странички, каждая со своими пометками, все помещено в какой-то контекст, свои таблицы трансляции и т.д.
А по факту — весьма странный «баг дизайна»

10.09.2018 04:36:24 Darth_Malok

Darth_Malok — Mon, 10 Sep 2018 04:36:24 GMT

Я слабо представляю, как работают современные процессоры, но неужели нельзя вместо «не читать лишние данные» и «очищать кэш после каждой операции» пойти немного другим путём — «очищать в кэше только те данные, которые не должны были туда попасть»? Можно даже какое-то микроядро прикрутить, которое только и занимается тем, что чистить кэш от «некорректных» данных. Процессор же на каком-то этапе отбрасывает результаты вычислений. Пусть где-нить записывает что-то типа «я тут немного погорячился, почисти тут и тут».

Да, производительность немного упадёт, но не нужно будет изобретать «процессор совершенно нового типа».

Или у меня искажённые представления, и программы постоянно лезут в недоступные области памяти, «разгоняя» друг друга за счёт кэширования?

10.09.2018 03:34:06 Kobalt_x

Kobalt_x — Mon, 10 Sep 2018 03:34:06 GMT

Причем тут задача останова к сигнатурному поиску это же не проактивка какая

10.09.2018 03:01:10 michael_v89

michael_v89 — Mon, 10 Sep 2018 03:01:10 GMT

Там в файле https://xlab.tencent.com/special/spectre/js/check.js есть такой код:

    if(window.SharedArrayBuffer)
    {
        output_cache_log(8);
        check(8, [88,117,97,110,119,117]);
    }
    else
    {
        output_not_info_leak();
    }

10.09.2018 00:51:50 Mad__Max

Mad__Max — Mon, 10 Sep 2018 00:51:50 GMT

От Meltdown — точно. От Spectre — c высокой вероятностью.
Правда кэш тут не причем. Просто Meltdown уязвимости вообще в процессорах AMD нет за счет отличающейся архитектуры. А Spectre сложнее реализовать.

Структура кэш же важна при делении процессора «с соседями» — если к началу ветки вернуться, обсуждали работу на серверах и облачных вычислениях. Когда один физический процессор делится между несколькими разными клиентам разными системами виртуализации и один из клиентов может с помощью этих уязвимостей пытаться «выуживать» информацию из работающего софта у «соседей».

10.09.2018 00:32:34 Mad__Max

Mad__Max — Mon, 10 Sep 2018 00:32:34 GMT

Забавно что старый хром, наоборот пишет НЕ подвержен. И старый (ESR) Лис тоже.

Или это из-за того, что процессор AMD? Хотя Spectre вроде и на AMD можно реализовать в отличии от Meltdown.

10.09.2018 00:09:20 0xd34df00d

0xd34df00d — Mon, 10 Sep 2018 00:09:20 GMT

Еще можно хостить не нативные приложения, а байткод, котовый верифицировать на экслуотацию известных уязвимостей.

Ща, пять сек, только задачу останова дорешаю.

10.09.2018 00:07:18 0xd34df00d

0xd34df00d — Mon, 10 Sep 2018 00:07:18 GMT

Те куски, о которых тут речь, куда мельче отдельных строк и даже инструкций программы (см. μops, конвертация во внутреннее RISC-представление, вот это всё).

Там, кстати, свои забавные баги бывают. ЕМНИП одно время одно из относительно недавних поколений процов считали, что, условно, xor eax, eax имеет зависимость по данным от eax, хотя где-то со второго пня процессоры умеют распознавать этот паттерн как зануление регистра и тупо мапят eax на нулевой/обнулённый регистр.

10.09.2018 00:04:02 0xd34df00d

0xd34df00d — Mon, 10 Sep 2018 00:04:02 GMT

На указанном примере это смысла действительно не имеет. Спекулятивное исполнение куда важнее для того, что называется tight loops.

Например, для большого ArrSize,

for (int i = 0; i < ArrSize; ++i)
{
    // handle i
    if (!(i % 10))
        // special handling for i = 10k
}

Более того, вам даже внутри цикла условий не нужно, чтобы ощутить профит от спекулятивного исполнения: сам цикл — тоже условие, в конце концов (if predicate goto loop). И вам не нужно дожидаться окончания текущей итерации цикла, если следующая итерация от текущей не зависит (умножение матриц там, всё такое, ага).

А для выбора того, какой файл читать, это всё нафиг не нужно, да.

09.09.2018 23:40:51 0xd34df00d

0xd34df00d — Sun, 09 Sep 2018 23:40:51 GMT

Это вполне может решаться на уровне браузера огрублением таймеров и прочими рандомизациями из этой серии.

09.09.2018 23:06:42 Lofer

Lofer — Sun, 09 Sep 2018 23:06:42 GMT

Есть и для этого инструментарий давно как и на уровне оптимизации в компиляторе, так и на уровне языков/библиотек.

Но и если бы вся инфа была загружена заранее — выполнение функции (по условию) — час, выполняя лишнюю функцию, проц бы выполнил безумно много лишней работы ;-)

Так процессору все равно заняться нечем — данных нет, кода нет. блоки вычисления и конвейры стоят пустые. Почему бы их не занять чем-то, что в будущем может окупиться? Так сказать «инвестиции свободных ресурсов в возможное светлое будущее»

09.09.2018 23:01:44 arielf

arielf — Sun, 09 Sep 2018 23:01:44 GMT

На лицо несоответствие модели ЯП — железу. Хорошо, ежели программа выполняется именно так, как она написана. Не правильнее было бы явно указывать, какие куски программы можно выполнять параллельно, а какие нельзя?

09.09.2018 22:55:04 imanushin

imanushin — Sun, 09 Sep 2018 22:55:04 GMT

по сравнению со скоростью написания

Вы забыли добавить слово «компиляторов». Java/.Net/JS программы ведь не надо переписывать.

09.09.2018 22:54:13 arielf

arielf — Sun, 09 Sep 2018 22:54:13 GMT

Спасибо! Но вы привели как раз параллелизуемый пример — a и x можно считать независимо. В моём примере, вычисления не прараллелизуемы — файлы загружены после проверки — ну, например, x нужно чтобы решиь, какие файлы загружать. И функции можно вызвать лишь после проверки. Но и если бы вся инфа была загружена заранее — выполнение функции (по условию) — час, выполняя лишнюю функцию, проц бы выполнил безумно много лишней работы ;-)

В общем на низком уровне — умножение и прочее — всё хорошо, а на высоком уровне? Ежели у вас b, с, y и z — матрицы 1000 x 1000, или вызовы функции, выполняющейся часы?

Хм, а раньше early exit как раз и был призван избавить мир лишних вычислений! А щаз, получается, все компилеры наплевали на порядок инструкций.

09.09.2018 21:57:20 Antervis

Antervis — Sun, 09 Sep 2018 21:57:20 GMT

рассмотрим простые инструкции на современных процах, например умножение вещ. чисел одинарной точности, для skylake: latency = 4, CPI = 0.5. Это значит, что за один такт процессор может засунуть в конвеер две инструкции умножения, но результат выполнения каждой из них будет доступен только через четыре такта. Теперь предположим, что мы между этими двумя операциями вставим условный переход, что-то типа:

float a = b * c;
if (a > d) // допустим, это холодная ветка
    return 0;
float x = y * z;
// Считаем дальше...

В общем случае нам понадобится дождаться вычисления результата a (4 такта), посчитать условие (1-2 такта), и если мы не уходим в холодную ветку можно просто считать дальше, но с проверкой 7 тактов вместо 1.

А если выполнять спекулятивно — одновременно считается x и перепроверяется, что холодную ветку выполнять на самом деле не надо. И там либо всё ок и к моменту перепроверки уже несколько тактов насчитано (а сама проверка словно ничего и не стоила), либо насчитано несколько тактов вхолостую и надо прыгать в холодную ветку. Уязвимости как раз и используют результат этих холостых вычислений

п.с. на истину в последней инстанции не претендую, если где не прав — поправляйте

09.09.2018 21:41:17 equand

equand — Sun, 09 Sep 2018 21:41:17 GMT

Сейчас программно так и реализовали (KPTI), по сути ОС загружает и выгружает данные из кеша, когда они больше не нужны.

Однако ускорение от спекуляции в том как раз таки, что доступ разрешен спекулятивному выполнению.

09.09.2018 21:37:58 equand

equand — Sun, 09 Sep 2018 21:37:58 GMT

АМД безопасней в некотором плане. Но спектру все подвержены в том или ином виде процы связанные со спекулянтством.

Антивири к этому не имеют отношения. Фактически это прямой доступ к ring0 из browser javascript. Решается латанием дыр (по сути запретом выполнения определенных вещей, например в firefox уменьшили разрешение gettime() колов) в компиляторах и интерпретаторах, оси и др.

09.09.2018 21:34:59 equand

equand — Sun, 09 Sep 2018 21:34:59 GMT

Там не в прямом чтении дело. А в том что в процессе подбора байт проверка происходит либо быстро либо медленно, в зависимости от того, какой байт подошел. Если тот же байт то отказ приходит быстрее нежели не тот.

09.09.2018 20:24:45 Lofer

Lofer — Sun, 09 Sep 2018 20:24:45 GMT

Ибо чтобы реально выполнить функции из примера нам нужна инфа, получаемая лишь после проверки условия! А раз нету реальной инфы — знач нету и угрозы?

А на это есть алгоритмы пресказания ветвления — один из самых охраняемых «секретов фирмы». В последних процессорах пытаются приделать для этого нейронные сети, как раз потому что разное ПО с разным поведением сильно влияет на «утилизацию вычислительных ресурсов» и штрафы за ошибки предсказания.
Дабы уменьшить штрафы — и загружают все что может пригодится «на всякий случай»

09.09.2018 19:36:02 masv

masv — Sun, 09 Sep 2018 19:36:02 GMT

У меня Athlon ii X3 вообще без L3 кэша. Я застрахован от этих атак?

09.09.2018 18:55:48 Vilgelm

Vilgelm — Sun, 09 Sep 2018 18:55:48 GMT

Vivaldi последней версии, написал что неподвержен. Хром последней версии, написал что подвержен.

09.09.2018 18:48:09 Diordna

Diordna — Sun, 09 Sep 2018 18:48:09 GMT

Уязвимость только х64 задела?

09.09.2018 18:47:03 arielf

arielf — Sun, 09 Sep 2018 18:47:03 GMT

Как бы без реальных вычислений? Ну, например, конвертация машинных инструкций в низкоуровневые инструкции микропроцессора и прочее? Ибо чтобы реально выполнить функции из примера нам нужна инфа, получаемая лишь после проверки условия! А раз нету реальной инфы — знач нету и угрозы?

И ещё, не является ли неравномерная нагрузка процессора — проблемой «линейных» языков программирования? И как её решить без спекуляции?

Решение ну явно некрасивое ;-)

09.09.2018 18:43:11 sumanai

sumanai — Sun, 09 Sep 2018 18:43:11 GMT

В чём проблема подписывать данные в кэше идентификатором процесса?

Уже, гуглить PCID.

«Ну а что, а вдруг?»

Так и есть. Есть общесистемные библиотеки, разделяемые данные.

Так и кеш будет работать быстрее — не потратит время на поиск данных там, где их нет и быть не может, и безопасность будет выше.

Медленнее, потому что придётся учитывать ещё один параметр. Кеш реализован в железе, и тут дополнительыне параметры только портатят транзисторный бюджет.

09.09.2018 18:42:50 Diordna

Diordna — Sun, 09 Sep 2018 18:42:50 GMT

Амд быстрее/безопасней?
Авиры смогут как-то бороться с пооблемой?

09.09.2018 18:34:04 sumanai

sumanai — Sun, 09 Sep 2018 18:34:04 GMT

У меня наоборот, не подвержен уязвимости, FF на ОС, у которой отключены все эти патчи. В общем фигня всё это, что через яваскрипт.

09.09.2018 17:18:16 Tyusha

Tyusha — Sun, 09 Sep 2018 17:18:16 GMT

Проблема в наличие конвейера в современных процессорах. Обработка команд, если так можно выразиться, начинается сильно заранее их непосредственного «выполнения». Поэтому пока не получен результат if-а (пусть даже самого простого вычислительно), конвейеру пришлось бы простаивать без дела. А потом, когда исход условия прояснился бы, пришлось «раскочегаривать» конвейер заново, и ждать, пока нужная ветвь пройдёт все его стадии. Как я понимаю, в нынешних процессорах длина конвейера захватывает десятки команд.

А так процессор может спекулятивно предположить результат if-а и заняться подготовкой на конвейере какой-либо ветви впрок. Поэтому к моменту разрешения условия всё уже готово без простоя.

И ещё замечу, что дело не сложности или простоте условия, а в том, что его значение не может быть вычислено ранее определённого момента.

09.09.2018 17:17:25 inferrna

inferrna — Sun, 09 Sep 2018 17:17:25 GMT

Насколько я понимаю, многозадачность современных системах реализована на уровне процессора. Т.е. в процессор уже заложено разграничение между процессами на доступ к ресурсам и т.д. В чём проблема подписывать данные в кэше идентификатором процесса? Процесс что-то вычислял, получал данные из своей области памяти и часть данных отпечаталась в кэш. Потом пришёл другой процесс со своей памятью и своими данными — зачем вообще процессор тратит время на поиск в области кеша, в которую этот новый процесс ничего не писал? «Ну а что, а вдруг?» Что стоит изолировать данные в кеше между процессами? Так и кеш будет работать быстрее — не потратит время на поиск данных там, где их нет и быть не может, и безопасность будет выше.

09.09.2018 17:10:49 Tyusha

Tyusha — Sun, 09 Sep 2018 17:10:49 GMT

Мне кажется, что x86 это навсегда! Уж насколько Itanium был лучше, и то умер.

09.09.2018 16:43:37 arielf

arielf — Sun, 09 Sep 2018 16:43:37 GMT

Ну, всё равно не ясно — чем ужасны условия? Неужели на вычисление условия нужно больше времени, чем на выполнение целой кучи инструкций?

if(x) { 
    get_file(a, b, c);
    big_func(a, b, c); // Processing one hour 
else { 
    get_file(e, f, g); 
    another_big_func(e, f, g); // Processing one hour 
}  
// x, a, b, c, e, f, g -- are known in runtime

Разъясние плиз на указанном примере принцип. Как правило условия нужны, ежели решение принимаеся во время выполнения, а знач и функции мы заранее не вычислим, ибо нужная инфа ещё не загружена.

09.09.2018 16:00:20 Lofer

Lofer — Sun, 09 Sep 2018 16:00:20 GMT

Еще можно хостить не нативные приложения, а байткод, котовый верифицировать на экслуотацию известных уязвимостей.

Это скрестить сигнатурный анализатор с JIT-компилятором? Так МС вас опередила — на уровне компилятора с 2003 года нельзя дергать системные функции без критериев безопастности (явного размера данных), в .Net встроены декларативные механизмы безопастности, в для нативных приложений используются манифесты. Это решило часть проблем. Что делать с остальным — пока не очень понятно.

09.09.2018 13:19:45 potan

potan — Sun, 09 Sep 2018 13:19:45 GMT

Можно отказаться от out-of-order, и вообще от суперскаларности, а для закрузки конвеера использовать гипертрединг с большим количество нитей.
Еще можно хостить не нативные приложения, а байткод, котовый верифицировать на экслуотацию известных уязвимостей.