Уязвимость SPECTRE неустранима. Под ударом фактически весь интернет.


Страницы: (23) « Первая ... 7 8 [9] 10 11 ... Последняя »	[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]

Toksus

17.01.2018 - 23:51

Статус: Offline

Примус поничяю

Регистрация: 26.09.06
Сообщений: 1886

Цитата (Poltinnik @ 17.01.2018 - 23:50)

Поеду к родителям, заберу старенький системник с антресоли. Там же где-то лежат диски с виндой 95 и 98.

Слабак! Переходи на ZX-Spectrum! Хотя название подозрительное...

[^]

tleu

17.01.2018 - 23:52

Статус: Offline

Ярила

Регистрация: 18.12.16
Сообщений: 3157

Цитата (Избор @ 17.01.2018 - 23:50)

Мне пох, у меня ZX Spectrum 128

Крутой, я все 48 сижу

[^]

ПсихоПатрик

17.01.2018 - 23:52

Статус: Offline

Ярила

Регистрация: 18.01.16
Сообщений: 2558

Цитата

Ошибка Spectre позволяет злонамеренным пользовательским приложениям, работающим на данном компьютере, получить доступ на чтение к произвольным местам компьютерной памяти (англ.)русск., в том числе к памяти, используемой другими приложениями (то есть нарушить изоляцию памяти между программами). Атаке Spectre подвержены большинство компьютерных систем, использующих высокопроизводительные микропроцессоры, в том числе персональные компьютеры, серверы, ноутбуки и ряд мобильных устройств[7]. В частности, атака Spectre была продемонстрирована на процессорах производства корпораций Intel, AMD и на чипах, использующих процессорные ядра ARM.

Имеется вариант атаки Spectre, использующей JavaScript программы для получения доступа к памяти браузеров (чтение данных других сайтов или данных, сохраненных в браузере).[8]

И да, тут не сказано, что он может исполнять код и делать все, что захочет. Сказано, что он может ЧИТАТЬ, данные из других приложений. То есть шпионить.

[^]

Barrel0726

17.01.2018 - 23:52

Статус: Offline

Ярила

Регистрация: 5.10.16
Сообщений: 4586

Цитата (GrafDex @ 17.01.2018 - 23:00)

Хуйня. Байкал уже в продаже.

Отправлено с мобильного клиента YAPik+

Хуйня. Байкал если чо, для таких устройств как роутеры и прочее. А Эльбрус для ПК и серверов...

[^]

~~aspex~~

17.01.2018 - 23:53

Статус: Offline

Юморист

Регистрация: 1.07.13
Сообщений: 447

Цитата (BaalBes @ 17.01.2018 - 23:37)

Цитата (zloybomj @ 17.01.2018 - 21:59)

бла-бла-бла.

3 января на ЯПе была выложена новость о процессорах интел.
Дабы лодку не раскачивали, ей тут же повесили тег "fake", а специально-обученные люди откомментировали в стиле "ясно, пойду посру" и "у меня amd". Никто из читателей не удосужился загуглить о чём идёт речь, так она и ушла из виду с сотней лайков как новость "чеводотам с процессорами интел".

бла-бла.

Что это означает мой наивный друг?
Это означает, что твою машину можно прямо сейчас захватить ПОЛНОСТЬЮ, стянуть все пароли, зашифровать/расшифровать данные и тд и тп. Для этого достаточно просто внести соответствующий код в JS и получить контроль над кешем процессора.

бла.

Не, в целом, всё, конечно, по теме. Но за подачу материала в стиле "я несу вам свет в массы, а вы - быдло,которому только котиков с сиськами подавай, меня всего такого замечательного недооценили" - лови шпалу.

Теперь же по теме, и почему именно мне - похуй. Во-первых на моём компе без моего жалания JS из сети (да и вообще любая прога) не выполняется. Только то, что лично я ставил, и чему доверяю. Во-вторых лично мои пароли от чего-то важного, вроде интернет-банка, хранятся только в моей голове, и более нигде не сохраняются. Так что спиздить их проблема. А проебать что-нибудь типа аунта в ВК мне не страшно (тем более уже давно всё к мобиле привязано, восстановить можно всегда). Ну и в-третьих лично я нахуй не нужен ни злобным хакерам, ни спецслужбам, ни тайному мировому правительству, ибо с меня они ничего кроме анализов поиметь не смогут.
И полагаю что в описанной выше ситуации я, среди ЯПовцев, далеко не одинок. Так что:
Ясно, понятно, пойду посру.

Вот тут поржал! ))))
Ты когда ответ в тему писал, текст в рамочку на сайте вбивал? Потом кнопочку "отправить" жмакнул? ))) А теперь наведи курсор на эту самую форму для вбивания текста, нажми ПРАВУЮ кнопку мыши и выбери в появившемся меню "посмотреть код элемента", появится всякая абракадабра, ты чуть вверх крутани и узри страшное слово JAVA SCRIPT )))) Отправив ответ ты ЗАПУСТИЛ ДЖАВОВСКИЙ СКРИПТ!))) БЕЗ подтверждения))) ПОЗДРАВЛЯЮ - ты чайник)))

[^]

VasyaDV

17.01.2018 - 23:53

-2

Статус: Offline

Отчалил

Регистрация: 23.01.17
Сообщений: 2422

Цитата

поставьте NoScript и разрешите скрипты на исполнение лишь на доверенных сайтах.

ТС, открою страшную тайну. Эти настройки являются дефолтными в браузере. И если их не меняли, то скрипты и так не будут запускаться нихуя.
Наверное многие ставили всякие банк-клиенты, работающие через браузер. И наверное помнят, что для того, чтобы они заработали приходиться править настройки браузера и добавлять URL сайта банка в доверенные.
Опять сотрясание воздуха.

Это сообщение отредактировал VasyaDV - 17.01.2018 - 23:55

[^]

~~zloybomj~~	17.01.2018 - 23:54 [ показать ] -2
Статус: Offline бомж Регистрация: 7.10.17 Сообщений: 1548	elPHOBOS выдержка из ссыли на сохабр: Так же, как и в случае с Meltdown, атакующая программа не требует для себя никаких особенных привилегий, кроме самой возможности запуститься на атакуемой системе. Теоретически, атака может быть произведена даже из JS-скрипта в браузере и других интерпретируемых языков, в которых есть возможности организовать таймер с точностью, пригодной для различения скорости получения переменной из кэша и из ОЗУ. Так что про исполняемые файлы вы сами придумали для успокоения.
	[^]

~~zloybomj~~	17.01.2018 - 23:54 [ показать ] 0
Статус: Offline бомж Регистрация: 7.10.17 Сообщений: 1548	"ТС, открою страшную тайну. Эти настройки являются дефолтными в браузере. И если их не меняли, то скрипты и так не будут запускаться нихуя. " Что за дичь вы несёте? У вас дефолтно ютуб не работает? :) При отключенном js не работает.
	[^]

~~MnogoTochie~~

17.01.2018 - 23:54

Статус: Offline

Ярила

Регистрация: 8.06.17
Сообщений: 16743

Цитата (DebrisNSX @ 17.01.2018 - 22:13)

У меня Pentium, мне идти срать или нет? ))

Лично я срать хожу, когда хочется, а не когда у меня пентиум.

[^]

kannib	17.01.2018 - 23:55 [ показать ] 1
Статус: Offline Юморист Регистрация: 23.12.14 Сообщений: 536	Мне вот интересно, если автор пишет, что везде по этим вашим интернетам гуляет эксплойты на JS - где исходники? Где пример реализации удаленного доступа и полного контроля (как пишет автор)?
	[^]

point027	17.01.2018 - 23:55 [ показать ] 0
Статус: Offline Ябрила Регистрация: 31.07.13 Сообщений: 26889	Спасибо, что сказали, пойду все ключи пентагоновские на бумажку перепишу с виндового Блокнота.
	[^]

elPHOBOS

17.01.2018 - 23:56

Статус: Offline

Ярила

Регистрация: 19.09.12
Сообщений: 3396

Цитата (zloybomj @ 17.01.2018 - 23:48)

Зачем?

Чтобы в IT-обсуждениях ламером не выглядеть с порога.
Как там кстати дела обстоят с "внедрением в ядро", работу над ошибками сделал ?

Это сообщение отредактировал elPHOBOS - 17.01.2018 - 23:57

[^]

bodyartist	17.01.2018 - 23:57 [ показать ] 1
Статус: Offline Ярила Регистрация: 1.04.09 Сообщений: 2161	ЕБАНА!!! Моя колекция порно под угрозой!!!
	[^]

ПсихоПатрик	17.01.2018 - 23:57 [ показать ] 0
Статус: Offline Ярила Регистрация: 18.01.16 Сообщений: 2558	Кстати, еще можно кэши проца вырубить. На П1 - П4 точно можно было, как на современных - хз. Правдв тогда, наверное, получится 386.
	[^]

elPHOBOS

17.01.2018 - 23:57

Статус: Offline

Ярила

Регистрация: 19.09.12
Сообщений: 3396

Цитата (kannib @ 17.01.2018 - 23:55)

Мне вот интересно, если автор пишет, что везде по этим вашим интернетам гуляет эксплойты на JS - где исходники? Где пример реализации удаленного доступа и полного контроля (как пишет автор)?

У автора в голове вместе с остальными фантазиями в одной куче.

Это сообщение отредактировал elPHOBOS - 17.01.2018 - 23:58

[^]

VasyaDV

17.01.2018 - 23:59

Статус: Offline

Отчалил

Регистрация: 23.01.17
Сообщений: 2422

Цитата (zloybomj @ 18.01.2018 - 07:54)

"ТС, открою страшную тайну. Эти настройки являются дефолтными в браузере. И если их не меняли, то скрипты и так не будут запускаться нихуя. "

Что за дичь вы несёте? У вас дефолтно ютуб не работает? :) При отключенном js не работает.

на, курни, "грамотей" https://www.youtube.com/html5

[^]

KsandrPRO	18.01.2018 - 00:00 [ показать ] 0
Статус: Offline Ярила Регистрация: 12.08.11 Сообщений: 16381	Так... Угроза ясна... А если в инет лазить только с виртуалки? Можно будет через нее до хостовой машины добраться?
	[^]

~~MnogoTochie~~

18.01.2018 - 00:00

Статус: Offline

Ярила

Регистрация: 8.06.17
Сообщений: 16743

Цитата (anikifya @ 17.01.2018 - 22:15)

Цитата

внести соответствующий код в JS и

и чо?
Ява на рабочем компе нахуй она?
Ну разве тупорылые банк-клиенты? Так на машинах с банк-клиентами стоит доступ только на адрес и порт банка

А если вы админ и у ваших пользователей на компах стоит ява - увольняйтесь к хуям. Вам уже не помочь

1. Между "жава" и "жаваскрипт" даже большая разница, чем между "пиздюк" и "пиздец".
2. Не только банк-клиенты. Для ЭДО, например (пример реальный - у нас в Свердловской области используется такой документооборот между казначейством и бюджетными организациями).

Это сообщение отредактировал MnogoTochie - 18.01.2018 - 00:01

[^]

~~aspex~~

18.01.2018 - 00:01

Статус: Offline

Юморист

Регистрация: 1.07.13
Сообщений: 447

Цитата (VasyaDV @ 17.01.2018 - 23:53)

Цитата

поставьте NoScript и разрешите скрипты на исполнение лишь на доверенных сайтах.

Открою вам страшную тайну - у ВСЕХ браузеров, ПО УМОЛЧАНИЮ стоит настройка - "Разрешить исполнение JS", не верите? Покопайтесь в настройках)))

[^]

VasyaDV

18.01.2018 - 00:01

-1

Статус: Offline

Отчалил

Регистрация: 23.01.17
Сообщений: 2422

Цитата

атакующая программа не требует для себя никаких особенных привилегий, кроме самой возможности запуститься на атакуемой системе

ну да, мелочи какие. всего лишь запуститься. это из серии "быть немного беременной"

[^]

BaalBes

18.01.2018 - 00:01

Статус: Offline

Агент 0.7

Регистрация: 6.03.13
Сообщений: 10323

Цитата (zloybomj @ 17.01.2018 - 23:43)

"Не, в целом, всё, конечно, по теме. Но за подачу материала в стиле "я несу вам свет в массы, а вы - быдло,которому только котиков с сиськами подавай, меня всего такого замечательного недооценили" - лови шпалу."

Да и пофиг. Я же говорю - сухое изложение материала вообще бы не привлекло внимания.
И да, я бы прошпалил тут всех за то, что новость про спектр ВООБЩЕ МИНОВАЛА ЯП.
КАК???

Ещё раз. Всем ПОХУЙ. Просто потому, что 99.9(9) пользователей данного сайта НИХУЯ не потеряют от того, что их комп взломали.

З.Ы. И вообще. Какой-то ты не ЯПовец...

Может тебе, для начала, над собой поработать? Купит там увеличитель члена, например... А как будет 45см, так и приходи.

Это сообщение отредактировал BaalBes - 18.01.2018 - 00:06

[^]

Васяныч	18.01.2018 - 00:02 [ показать ] 1
Статус: Offline Ярила Регистрация: 11.09.13 Сообщений: 1886	Пока обсуждается сферический конь в вакууме - интересен один момент: как будут выкручиваться безопасники? Они же так пыжились с безопаснотью ПДн, фстэковскими дутыми сетрификатами на разный бесполезный хлам, а тут такая свинья прям под боком
	[^]

ПсихоПатрик	18.01.2018 - 00:02 [ показать ] 0
Статус: Offline Ярила Регистрация: 18.01.16 Сообщений: 2558	Кстати, ЯП и с отключенным Яваскриптом работает. А вот большинство сайтов не способны работать без него. А если это можно реализовать через ПХП серипт, то мы вообще фсе умрем. Ведь он исполняется на сервере, насколько я помню.
	[^]

~~MnogoTochie~~

18.01.2018 - 00:02

Статус: Offline

Ярила

Регистрация: 8.06.17
Сообщений: 16743

Цитата (AHDPEiiKA @ 17.01.2018 - 22:16)

И да - уязвимость не устранима, так как она специально внедрялась на этапе разработки, и если верить ТСу про компы с 1995 года таки успешно существует уже 23 года

Специально внедрялась уязвимость, которую еще хуй знает как использовать?

По характеру уязвимости совершенно очевидно, что это просто баг.

[^]

~~Vivivdarium~~	18.01.2018 - 00:04 [ показать ] 7
Статус: Offline Ярила Регистрация: 1.05.16 Сообщений: 7890	Пошел удалять видео, где мы с одноклассницей обмазались говном и дрочим. А то мало ли... Отправлено с мобильного клиента YAPik+ Это сообщение отредактировал Vivivdarium - 18.01.2018 - 00:05
	[^]

Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)	Просмотры темы: 77944
0 Пользователей: