Разработчики из компании Intel предложили (https://lkml.org/lkml/2018/1/20/158) для включения в ядро Linux серию патчей (https://github.com/marcan/speculation-bugs/blob/master/READM...) для блокирвоания второго варианта уязвимости Spectre (CVE-2017-5715). Патчи Intel позиционируются в качестве альтернативы патчам retpoline. По мнению Intel предлагаемое решение будет эффективно на процессорах Skylake и более новых, на которых не исключается появление вариантов атаки Spectre, которую не смогут закрыть патчи retpoline. При этом на старых процессорах по сравнению с retpoline решение Intel обеспечивает заметное снижение производительности, но в будущих моделях CPU влияние на производительность обещают сделать минимальным.
Патчи Intel базируются на использовании представленной в обновлении микрокода функциональности IBRS (Indirect Branch Restricted Speculation), позволяющей разрешать и запрещать спекулятивное выполнение инструкций. В предложенном патче IBRS применяется для адаптивного включения/выключения спекулятивного выполнения ветвления во время обработки прерываний, системных вызовов, переключений контекста между процессами и между виртуальными машинами. В отличие от retpoline патч Intel для всестороннего обхода Spectre не требует изменений компонентов в пространстве пользователя при включении "полного" режима работы (IBRS_ALL), активирующего применение IBRS в userspace.
В ответ на предложение включить данный патч в ядро Линус Торвальдс вышел из себя и назвал (https://lkml.org/lkml/2018/1/21/192) патч Intel "полным и абсолютным мусором" (complete and utter garbage), а предпринятый метод грязным хаком для создания видимости работы во избежание судебных исков. По впечатлению Торвальдса возникает ощущение, что Intel пытается решить свои юридические проблемы, что совсем не способствует созданию технически грамотных и качественных технологий и исправлений. Судя по всему, даже сама компания Intel не воспринимает режим защиты IBRS_ALL всерьёз, так как негативное влияние на производительность столь высока, что он отключен по умолчанию, чтобы не портить результаты тестов.
Тем временем, в запланированном на следующий понедельный выпуск ядра Linux 4.15 войдут наработки для блокирования атак Meltdown и Spectre (https://www.opennet.me/opennews/art.shtml?num=47856). Для противодействия атаке Meltdown (CVE-2017-5754) на системах x86 с процессорами Intel (процессоры AMD данной атаке не подвержены) добавлена технология PTI (Page Table Isolation), обеспечивающая разделение памяти ядра и пространства пользователя при переключении контекста во время системного вызова. Для процессоров PowerPC для защиты от Meltdown добавлен код на основе применения инструкции RFI (Return from Interrupt) для сброса кэша L1-D.Для блокирования эксплуатации второго варианта уязвимости Spectre (CVE-2017-5715) добавлен механизм retpoline, основанный на применении специальной последовательности инструкций, исключающей вовлечение механизма спекулятивного выполнения (для работы защиты также требуется сборка модифицированной версией GCC с поддержкой режима "-mindirect-branch=thunk-extern"). Включение средств для обеспечения защиты от первого варианта атаки Spectre (CVE-2017-5753) и кода для блокирования Meltdown на процессорах ARM отложено до выпуска 4.16.
Так как механизмы защиты приводят (https://www.opennet.me/opennews/art.shtml?num=47880) к снижению производительности, предусмотрены опции для их отключения, которые могут применяться на системах с минимальным риском атаки, например на однопользовательских рабочих станциях. Для отключения PTI во время загрузки ядру можно передать опцию pti=off, а для отключения etpoline - опцию "spectre_v2=off". В состав ядра также добавлен (http://kroah.com/log/blog/2018/01/19/meltdown-status-2/) диагностический вызов в sysfs для быстрого определения степени устранения уязвимостей Meltdown и Spectre, который привязан к директории /sys/devices/system/cpu/vulnerabilities/:
$ grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Vulnerable: Minimal generic SM retpolineURL: https://linux.slashdot.org/story/18/01/22/0648227/linus-torv...
Новость: http://www.opennet.me/opennews/art.shtml?num=47948
Сначала зелёные по мордасам получили, теперь синие. Ну, хотя бы за дело.
У синих это традиция. Просто много денег на маркетинг позволяет творить чудеса
> по мордасамА неплохо бы по самому чувствительному, нежному, ранимому и трепетно оберегаемому месту корпорасов — кошельку.
По другому ведь не дойдет — "... все Божья роса!"
Бенчмарки просядут, получат и про кошелю. Думаешь чего они так суетятся и релизят всякий падучий микрокод?
> Бенчмарки просядут, получат и про кошелю.Вот как раз продажи-то поднимутся -- покупателя ж будут "восстанавливать" производительность.
Нет чтоб web-2-0 за[вырезано цензурой]... вернуть обратно в интел в опечатанном вагоне, текст-онли html фром зе 90-тиз позозвращать... ФТП и ГОФЕР!1
>Думаешь чего они так суетятся и
> релизят всякий падучий микрокод?Рефлексии и конвульсии. "Рынок должен!" / "мозг не нужен".
> Сначала зелёные по мордасам получили, теперь синие. Ну, хотя бы за дело.Страшно ж подумать, что будет, когда Линус - всё... Есть ли на горизонте достойный преемник, настолько же умный и не подстилающийся под корпорастов?
Ленчик?
Леонардо Ди Каприо?
Леонардо Ди Поттеро
окстись, ирод
Очевидный Попов же
Линус орёт по делу. Почему-то если говорить подругому, тихо и спокойно, аргументы не хотят услышать.
Красные ещё раньше получили.
а не позже? сколько помню, красные попали под раздачу весной прошлого года
> а не позже? сколько помню, красные попали под раздачу весной прошлого годаЯ сравниваю с синими, а не зелёными.
Опят Столман с ноутом на ARM прав! :)
Включение средств для обеспечения защиты от первого варианта атаки Spectre (CVE-2017-5753) и кода для блокирования Meltdown на процессорах ARM отложено до выпуска 4.16.
> Включение средств для обеспечения защиты от первого варианта атаки Spectre (CVE-2017-5753)
> и кода для блокирования Meltdown на процессорах ARM отложено до выпуска 4.16.Во первых у него MIPS.
Во вторых, проблемам подвержены жирные старшие модели где OoO реализован. У Столлмана какой-то Lemote с скромным лунгсоном, OoO там может и не быть, тогда и OoO проблем нет.
Большинство массовых устройств на ARM повально с мелкими и дешевыми in-order ядрами идут, вещи типа ARM A7x в мобилки никто не допер ставить, а на серверах под их еще найди. Вот и могут отложить фиксы. В случае x86 датацентры по швам трещат, а тут поди еще найди что-нибудь уязвимое.
> Во первых у него MIPS.Во-первых, надо ставть дефис.
Во-вторых. у него уже ThinkPad.
Мне, вообще-то, со своего уровня абстракций почему-то казалось, что ВСЕ как-раз уже и получили то, что получается ...хотя это явно ещё не всё, что должны получить :)))
__________
Listening: 'Meltdown Consequence' BY Robotiko Rejekto ON Corporate Power
>/sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
>/sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable
>/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full generic retpolineмда ппц я думал его пофиксили давно((((((
Челы, у которых ещё осталась крыша, не эмулируемая виртуальной реальностью, утверждают что починить v1 можно будет обновлением самой архитектуры процессоров. А бизнес, скорее всего, ничего и не имеет против :)
Третьими словами, пришла пора вводить в обиход термины "процессорная инфляция" и "Криптоденежная реформа" :)))
Интелу пора снижать цены на свои процы, а не мусор токать в ядро linux, по скромнее надо быть)))
неплохо было бы, 40% скидку на haswell пни бы.
Зато я купил в конце 13-го i5 4570 за 6400, думал сервак замутить. А теперь им не пользуюсь.
да у меня самого i5-4440 есть за 7.5к, в 2014 брал, но для сервера я бы прикупил по скидке еще один
> но для сервера я бы прикупил по скидке еще одинно уже не от интел?
Кукурузены еще пока не дотягивают.
Это маркетологи Intel тебе голову проштудировали!
Значение знаешь?
Вас таких Свидетелей Иеговы (Intel) еще много...Intel, Amway, Herbalife...
Как же ты апплю то забыл?
> Как же ты апплю то забыл?Огрызко - вне конкуренции. Такого окормления паствы даже Ватикану в лучшие годы с трудом достичь удавалось.
Проштудировать - тщательно изучить, исследовать, подвергнуть штудированию.Впредь не употребляйте слов, значения которых вам неизвестны. Это может стать причиной столь нелепой оказии, что вы попросту попадете впросак.
Только в данном контексте пациента штудировали привязанным к маркетинговому табло.
> Только в данном контексте пациента штудировали привязанным к маркетинговому табло.Выше правильно сказали.
Нельзя штудировать "кого-то". Это слово не употребляется в отношении одушевленных объектов. Можно штудировать книги, интернет, но не человека.Сравни: ты можешь умыть лицо, но не можешь умыть стену или, например, напильник. Такие сочетания слов будут восприниматься как ошибка иностранца или как признак того, что у человека проблемы с головой.
>Интелу пора снижать цены на свои процыРаньше АМДа была поставлена шобы сбивать цену Ынтелю конкуренцией, но щас АМДа решыла зарабатывать по полной, аналогично Ынтелю.
Рынку х86 нужен 3й активный игрок...
> Рынку х86 нужен 3й активный игрок...И не только третий, желательно. И не только x86.
VIA, вот пишут, обещает совместимые процессоры: http://www.ixbt.com/news/2018/01/22/13213.html
Проплюсовал за "И не только x86".
Только не x86.
Когды последний раз на ассемблере писал?
>>Интелу пора снижать цены на свои процы
> Раньше АМДа была поставлена шобы сбивать цену Ынтелю конкуренцией, но щас АМДа
> решыла зарабатывать по полной, аналогично Ынтелю.
> Рынку х86 нужен 3й активный игрок...Раньше у амд не было конкурентов интелу. они и могли только сбивать цены выпуская 4ядерные утюги по цене 2ядерных интелов.
Денег все хотят.
>>Интелу пора снижать цены на свои процы
> Раньше АМДа была поставлена шобы сбивать цену Ынтелю конкуренцией, но щас АМДа
> решыла зарабатывать по полной, аналогично Ынтелю.
> Рынку х86 нужен 3й активный игрок...Вау, ты хочешь третьего игрока х86? У меня таки есть он для вас!
Свеженький новенький 8ми-ядерный Жаоксинг из Китаю! Правда производительность как у Атома но то дело такое.
> Рынку х86 нужен 3й активный игрок...Собянин ему нужен.
Собакин сможет только вымостить улицы Москвы интеловскими процами и потратить на этом туеву хучу бабла.
На большее он не способен.
интеловские - уязвимы. Мостить будем amd!
Может это не Интелу пора снижать цены на процы, а разработчикам научиться программировать и писать оптимизированный код? Или на худой конец выучить уже -o2?
А ты точно понимаешь что происходит при включении этой опции?
Хинт: не совсем то что написали в журнале кцакеп :-)
Ожидаемо. Самое забавное, что говорит, как всегда, по делу.
Только запоздал что-то в этот раз.
> Ожидаемо. Самое забавное, что говорит, как всегда, по делу.
> Только запоздал что-то в этот раз.Отмашки от совета директоров ждал. Вот у маркетинга с менегерией эмбарга кончилась -- тут-то он и.... всю правду-матку.
да ты -- по... ехавший
> да ты -- по... ехавшийСанитары! Отберите у наполеона из 6ой халат и фонендоскопЪ.
>> да ты -- по... ехавший
> Санитары! Отберите у наполеона из 6ой халат и фонендоскопЪ.У нас сегодня выходной после ночной смены.
> У нас сегодня выходной после ночной смены.Походу у вас одну смену санитарами, вторую пациентами. Ротация кадров и обмен опытом.
> говорит, как всегда, по делу.
> Только запоздал что-то в этот раз.Чтобы говорить по делу, надо сначала думать, а потом говорить. Не наоборот.
> Только запоздал что-то в этот раз.У него /dev/lkml смонтирован без -o sync, видимо. Иначе производительность резко падает...
Шигорин примените к себе http://www.opennet.me/openforum/vsluhforumID3/113363.html#35
> Шигорин примените к себеПеречитайте. Не поймёте -- идите дальше с миром.
> Только запоздал что-то в этот раз.Intel предложил 20-го числа, Линус раскритиковал 22-го.
Я конечно понимаю, что тут любой аноним за пять минут с этим патчем разобрался, и сразу переписал, его как надо. Но вообще для обычных людей это никак не тянет на "запоздал"
Походу когда Линус умрет некому будет защищать ядро и туда всякие проплаченые компании напатчат всякой !@#$, может даже специальная диверсия от майкрософт будет чтоб сделать линукс глючным. Не зря они стали платиновым партнером, ох не зря(((
> Походу когда Линус умрет некому будет защищать ядро и туда всякие проплаченые
> компании напатчат всякой !@#$, может даже специальная диверсия от майкрософт будет
> чтоб сделать линукс глючным. Не зря они стали платиновым партнером, ох
> не зря(((К сожалению, не исключено
>> Походу когда Линус умрет некому будет защищать ядро и туда всякие проплаченые
>> компании напатчат всякой !@#$, может даже специальная диверсия от майкрософт будет
>> чтоб сделать линукс глючным. Не зря они стали платиновым партнером, ох
>> не зря(((
> К сожалению, не исключеноСкорее форкайте! =D
Уже. Есть Linux-libre, чем не вариант?
> Уже. Есть Linux-libre, чем не вариант?Это не форк. Это _скрипт_ деблобер.
http://www.fsfla.org/svn/fsfla/software/linux-libre/scripts/Тарболы они выкладывают так просто -- чтоб трафик накручивать.
Какая разница? Как будут проприетарщину (не блобы) совать в ядро - форкнут.
и?
Засунут _не_ блоб. Сколько человек осилило SElinux\GRsec-*?
Да даже и блоб засунут. Ты же первый побежишь плакаЦЦо какое линукс оно когда твоя вайфайка не заведётся :-\ Проходили уже - знаем.
И хоть зафоркайся.
Так что не расслабляйте булки, если линукс будет равно РХ (или кто то один) - всё, это уже MS Linux. Как бы оно не называлось.
Линуса? а он не нафоркался разве еще?
Тогда уже будет реактос и кванотовые компьютеры
> Тогда уже будет реактосТо есть Линус ещё лет 50 проживёт? Эт хорошо.
> Тогда уже будет реактосТорвальдс будет жить вечно? Это прекрасно!
Виталик иди проспись, у них у самих в Azure есть полная поддержка запуска линуксов, зачем им гадить самим себе? В след. крупном обновлении венды будет поддержка юникс сокетов (эмуляция в
вантузные сокеты). А также bsdtar и curl из коробки.
>В след. крупном обновлении венды будет поддержка юникс сокетов (эмуляция ввантузные сокеты). А также bsdtar и curl из коробки.
Ну вот, готовят плацдарм чтоб заменить линукс на сервере. Потому что в игровой прошивке (чем сейчас является виндовс) все это не нужно.
> Ну вот, готовят плацдарм чтоб заменить линукс на сервере.Они активно заменяли Windows Server на линукс, а теперь будут обратно заменять? Представляешь сколько бабок на это потрбуется?
> Потому что в игровой прошивке (чем сейчас является виндовс) все это не нужно.
В игровой прошивке не так давно и нормальный вантуз был не нужен, там был какой-то обрубок от NT и всё остальное написано с 0. Просто решили не тратить бабки на поддержку этого монстра и запилить полноценный ШINDOWS.
> Ну вот, готовят плацдарм чтоб заменить линукс на сервере. Потому что в
> игровой прошивке (чем сейчас является виндовс) все это не нужно.SONY давно это поняла.
А что, во фряхе уже нет сокетов?
> А что, во фряхе уже нет сокетов?Там всё есть, поскольку это не только ядро, а целостный Unix.
>> А что, во фряхе уже нет сокетов?
> Там всё есть, поскольку это не только ядро, а целостный Unix.Это не Unix, смешной.
Не Unix(Tm) не смешной ты наш :)
Да по барабану уже это - то что тЫмЫ таки уже мёртвое. Хотя судорги ещё присутствуют.
> Не Unix(Tm) не смешной ты наш :)
> Да по барабану уже это - то что тЫмЫ таки уже мёртвое.
> Хотя судорги ещё присутствуют.Клоун ты детсадовский. Иди шарики надувай.
https://publications.opengroup.org/standards/unix/t101
SINGLE UNIX® SPECIFICATION, VERSION 4, 2016 EDITION
REFERENCE: T101Technically identical to IEEE Std 1003.1, 2016 Edition and ISO/IEC 9945:2009 including ISO/IEC 9945:2009/Cor 1:2013(E) and ISO/IEC 9945:2009/Cor 2:2017(E) with the addition of X/Open Curses.
> Там всё есть, поскольку это не только ядро, а целостный Unix.Да, и это баг а не фича. Потому что надо быть корпорацией размером с сони чтобы вытряхнуть все экскременты мамонта и иные культурные наслоения, причесать и сделать из этого вменяемый продукт.
Остальные предпочитают линух, потому что выпиливать систему из монолитного нечто - занятие довольно мучительное и непродуктивное.
Ну так поэтому и ввели, что не могут победить.
Все по их любимому плану https://ru.wikipedia.org/wiki/Embrace,_Extend,_and_Extinguish
Если продолжателей у ликнуса не появится, то так и захватят.
> у них у самих в Azure есть полная поддержка запуска линуксов, зачем им гадить самим себе?А они не себе - они пользователям. Чем медленнее работает один линукс, тем больше линуксов нужно для выполнения работы, тем больше денег они заработают.
В отсутствие монополии, рынок так не работает - многие клиенты просто свалят туда где дешевле.
> В отсутствие монополииОлигополия не сказать чтоб слаще.
> рынок так не работает
"Рынок" вообще, похоже, "не работает" там, где мощные силовые поля.
> "Рынок" вообще, похоже, "не работает"здесть можно спокойно ставить точку.
>> "Рынок" вообще, похоже, "не работает"
> здесть можно спокойно ставить точку.А рядом с точкой — икону.
И грузиться с "Эльбруса". Ессно, пред этим сотворив крёстное знамение и окропив.
> И грузиться с "Эльбруса". Ессно, пред этим сотворив крёстное знамение и окропив.Истово бия поклоны доземные.
"Эльбрус" - это вряд ли про рынок. По крайней мере - открытый. По крайней мере на ближнее время. Мучайся! :-р
> "Эльбрус" - это вряд ли про рынок. По крайней мере - открытый.
> По крайней мере на ближнее время. Мучайся! :-рМне нравится эта горка оговорок ;-)
Есть надежда на горку сюрпризов этим годом.
Да кто же против Миша?! Но минимум - очерчен.
Да хватит уже. Любимая власть уже столько горок нам наложила, и так только смотри как бы не вляпаться.
Ну понятное дело - ононим с <имя сайта> сделал бы всё правильно - быстро, качественно, дёшево! :-р
За всё хорошее, против всего плохого!(С) - этим уже только щирных кормить можно, они привыкли *** жрать :)Ну нужны, _нужны!!!_ свои системы для вояк, разведки, гостайны. И да - за почти любую цену, типо как после 1945 нужна была своя бомба. Точка. Ъ!
Если сильно повезёт то, как и с теми ракетами - может не только ЯБЧ но и спутник с Лайкой прокатим :) (в смысле Эльбрус в домохозяйство :-) но тут обещать не могу, вон Шигорин глазами-то делает Amore!(C)История любви - но прямым текстом такое обещать ... тоже не дурак :)
> но прямым текстом такое обещать ... тоже не дурак :)Лучше ж сделать, чем наобещать.
> "Рынок" вообще, похоже, "не работает" там, где мощные силовые поля.Ты сам выбирал, куда мигрировать.
>> "Рынок" вообще, похоже, "не работает" там, где мощные силовые поля.
> Ты сам выбирал, куда мигрировать.Шигорин в США? Законные лобби там нехилые.
>>> "Рынок" вообще, похоже, "не работает"
>> Ты сам выбирал, куда мигрировать.
> Шигорин в США?Я что -- дурак, что ли? Нет, снова на Родине.
Шигорин не дурак. Шигорин иммигрировал в Россию.
Не льсти себе, Мишико. Не "на", а "под".
"на", "под", "в" ... шырных почему то волнуют только простые предлоги. Видимо пропроционально объёму моска :) Предложение со сложным деепричастным оборотом видимо разрывает их на части!(С) :)
"There's a lot of good people there who've got your back, and Linus' back as well. This is an interesting article about one of them. - https://thenewstack.io/greg-kroah-hartman-commander-chief-li.../ "
via https://reddit.com/comments/7s13x0/comment/dt1lcqz?context=3
> greg-kroah-hartmanЭто не тот, который дибас в ядро тянул, потратив кучу человеко-часов на реализацию и предварительные кодревью, якобы по причинам производительности, пока Линус не догадался ПОМЕРЯТЬ эту самую производительность и прийти к выводу, что затык в другом и профита это не даст?
делать глючным ядро себе дороже - вантуз азуру не потянет, а вот убить сообщество и превратить мейнстримный линукс в убогое вендорлочное глюкалово - самое то. Скоро десять лет выполнению плана.
Такой наивняк! Как будто азуру обязательно патчить своими специальными глюкопатчами.
Есть пять пальцев на руке - сможешь защищать.
Если не Линукс, то кто, да?
> Если не Линукс, то кто, тогда?FreeBSD.
>> Если не Линукс, то кто, тогда?
> FreeBSD.Согласен! Плюсую обоими рукамы111!
Плохо!! Плохо линус защищает платиновых спонсеров и свободу корпораций.
В отставку, адназначна. >><<6>
Переписанный на Java from scratch.
> FreeBSD.А они вообще что-то запатчили? Или как обычно, ждут пока Торвальдс прогнет корпоративщиков факами, а они потом смогут скопипастить?
>> FreeBSD.
> А они вообще что-то запатчили?Запатчили, запатчили. Не извольте беспокоится.
https://reviews.freebsd.org/rS328083
Хотя сообщили им, в отличие от "проприетарных неподстилочек", аж в конце декабря. Под NDA.Поэтому аноны опеннета могут и далее гордо надувать щечки, ведь на самом деле патчи под пингвина почти целиком их заслуга! Они анонимно, не покладая рук (и ног с попой), искали уязвимость, писали исправления или подмах^W развлекали пару Платиновых Содержат^W Партнероф, которые и обеспокоились своевременным уведомлением.
> Или как обычно, ждут
Аноним пруфануть «как обычно» сможет? Или как обычно, очередной пук анонима?
> Хотя сообщили им, в отличие от "проприетарных неподстилочек", аж в конце декабря.Экий приступ жопаболи. А ничего что у meltdown и spectre есть несколько подвидов у каждого? Который из них запатчили? Или как обычно? А то ссылка это круто, но сервер не отвечает. FreeBSD: the power to FAIL.
> Под NDA.
Надо еще патчи было зажать, чтобы никто не догадался. Впрочем, патчи почему-то 17 января, чтоли. Видимо NDA не сильно помог.
> Поэтому аноны опеннета могут и далее гордо надувать щечки, ведь на самом
> деле патчи под пингвина почти целиком их заслуга!Экий у сэра батхерт от простог вопроса то...
> Экий приступ жопаболи.Экая проекция у Эксперта. Везде ему попaболь мерещиться.
> А ничего что у meltdown и spectre есть несколько
> подвидов у каждого? Который из них запатчили? Или как обычно? А
> то ссылка это круто, но сервер не отвечает. FreeBSD: the power to FAIL.Эксперт даже по ссылке не может пройте? Круто, че.
> 17 январяНо немножечко палится, что ли.
>> Под NDA.
> Надо еще патчи было зажать, чтобы никто не догадался.Анонимный Эксперт не поделится с нами своим прогнозом сроков написания патча? Две недели Эксперту бы хватило?
> Впрочем, патчи почему-то 17 января, чтоли. Видимо NDA не сильно помог.
Эксперт точно в курсе, что таке NDA?
Увы, не у всех проектов есть опытные анонимные Эксперты опеннета, которые за две недели смогли бы выкатить готовый, протестированый патч. Красношапке очевидно даже нескольких месяцев не хватило, пришлось откатывать обратно. Но куда им до элитный анонимов опеннета!> Экий у сэра батхерт от простог вопроса то...
Опять проецируем-с?
Я вот не понимаю, почему это не решается на уровне микрокода?
Хватит один уже выпустили
> Хватит один уже выпустилиОн не понимает. Выпускайте второго.
Возможно потому что микрокод не может/дорого определять где я ядро а где юзерспейс для всех существующих осей?
> Возможно потому что микрокод не может/дорого определять где я ядро а где
> юзерспейс для всех существующих осей?Точно! Ring0 от ring3 отличить невозможно ведь, и правда.
Да ещё в кеше?! "--Мы все у---м."
Андрей, я всего лишь предположил всилу своего незнания. Если есть что по делу рассказать - как прошивка ринги отличает например - ты поделись, многие с удовольствием почитают.
Дано:
В ячейке кеша, соответствующей адресу 0x???????????????? лежит число.
Как узнать, что инструкции из ring3 его читать нельзя, если информации о том, инструкцией какого ring она загружена - нет?
Как ни странно, но CPU от AMD - определяет. Правда не микрокодом, а потому что спроектированы не маркетолухами.
> Как ни странно, но CPU от AMD - определяет. Правда не микрокодом, а потому что спроектированы не маркетолухами.Архитектура [powerpc64] (POWER6-POWER9) не подвержена этим трём аппаратным особенностям. Архитектура [mips] (кроме P5600 - Baikal-T1 и P6600 - Warrior) похоже не подвержена этим проблемам.
> Архитектура [powerpc64] (POWER6-POWER9) не подвержена этим трём аппаратным особенностям.
> Архитектура [mips] (кроме P5600 - Baikal-T1 и P6600 - Warrior) похоже
> не подвержена этим проблемам.Точно клоун. По поверам - вот прямо на фряшной вики ссылки. По мипсам - сложнее. Предлагаю погуглить про то, какие мипсы сейчас вообще с out-of-order есть.
Трепло. "Firmware patches for POWER7+, POWER8, and POWER9 platforms are now available via FixCentral." прямо на сайте голубых. 6 не патчат, просто 7-ку обещают в Феврале.Это история про вкус ананасов, изеня, и тех кто их и в правду ел :-)))
>Архитектура [powerpc64] (POWER6-POWER9) не подвержена этим трём аппаратным особенностям.просто оставлю это здесь
https://www.ibm.com/blogs/psirt/potential-impact-processors-...
Про мипсы никто не знает, толи некому копать, толи для архитектуры, которая принципиально не заботится о межпроцессном взаимодействии это вообще не проблема. :)
> Про мипсы никто не знает, толи некому копать, толи для архитектуры, которая
> принципиально не заботится о межпроцессном взаимодействии это вообще не проблема. :)Ты про тем "мипсы без межпроцессного взаимодействия", которые ещё 20 лет назад в продаже были в 128-ядерных вариантах?
> ... но CPU от AMD - определяет. Правда не микрокодом,Нет. Проблема реализации meltdown на AMD в том, что у AMD cache'и non-inclusive, а у Intel'а --- inclusive.
>> ... но CPU от AMD - определяет. Правда не микрокодом,
> Нет. Проблема реализации meltdown на AMD в том, что у AMD cache'и
> non-inclusive, а у Intel'а --- inclusive.У ряжанки л1+л2 кашы инклюзивные, л3 так вообще мусорная.
Мусорным оказался OoO у интеля, извините. Это просто халтура, проц срывает гарантии которые якобы должна была обеспечить их иллюзия.
> Мусорным оказался OoO у интеля, извините. Это просто халтура, проц срывает гарантии
> которые якобы должна была обеспечить их иллюзия.Не просто халтура, а шулерство, которым Штеуд занимается более тридцати лет под прикрытием умелого маркетинга и промывания мозгов рекламой.
По диапазону выделяемых адресов можно было бы извернуться.
> Дано:
> В ячейке кеша, соответствующей адресу 0x???????????????? лежит число.
> Как узнать, что инструкции из ring3 его читать нельзя, если информации о
> том, инструкцией какого ring она загружена - нет?Рядом с ячейкой нужно хранить токен контекста. И именно это не переделать микрокодом -- на скоростях кеша этонужно делать "силикономТМ".
AMD, возможно, это и делает....
АМД, по слухам, помнит ring (там пара бит нужна).
Но в пределах ринга уже все.
Учитывая, что современные кеши, для скорости, даже адрес и тот не целиком хранят, добавить к нему полноценный разбор PCID без просада скорости - та еще задачка.
> В ячейке кеша, соответствующей адресу 0x???????????????? лежит число.
> Как узнать, что инструкции из ring3 его читать нельзя, если информации о
> том, инструкцией какого ring она загружена - нет?забудьте вы про эти "ринги", это вам прохфессора времен ос-ес мозги пудрят.
В пределах юзерспейса банального, прочитать что-то, лежащее в чужой памяти - вам не дадут, независимо от того, есть оно в кэше или нет. Напрямую обратиться к кэшу тоже не дадут, тоже никому и ни при каких условиях - его только сбросить можно.
Идея новых атак в том, что нашли _косвенные_ способы с некоторой (в результате многих итераций приближенной к 100%) вероятностью узнать, что же там лежит, не обращаясь непосредственно к этому адресу, вообще.
> забудьте вы про эти "ринги", это вам прохфессора времен ос-ес мозги пудрят.Вряд ли профессора. Ибо в Эльбрусе и при спекулятивном выполнении проверяется флажок доступа,
а Intel'а на этом съэкономили.Судя по телодвижениям Intel'а, проверка бита доступа при спекулятивном выполнении не может быть решена микрокодом.
> Вряд ли профессора. Ибо в Эльбрусе и при спекулятивном выполнении проверяется флажок
> доступа,
> а Intel'а на этом съэкономили.Флажок то они проверили. Но кэш при этом все-же загадили и не подчистили. Сорвав иллюзию. А потом код приходит и просто читает кэш, потому что может. А то что его раньше по исключению завернули - "испорченый" кэш читать нисколько не мешает.
> Но кэш при этом все-же загадили и не
> подчистили. Сорвав иллюзию. А потом код приходит и просто читает кэш,
> потому что может."Градуируя его вдоль спины получаем синекдоху отвечания".
> А то что его раньше по исключению завернули
> - "испорченый" кэш читать нисколько не мешает.
> А потом код приходит и просто читает кэшкод не может прочитать кэш. Его вообще никто кроме процессора прочитать не может.
Код читает просто память - причем, свою собственную. Но таким интересным образом, что (даже при том что этот код вообще не выполняется, и если бы выполнился, не прочиталось бы) по тому, как именно она читается (не "что", читается ровно что положил, а _как_), можно сделать предположение о том, что лежит в памяти другого процесса. "предположение" - термин статистический, и, путем многократного повторения, получается достоверным.
как оно там сделано у Эльбрусов - большой-большой военный секрет, и "мы вам о них не расскажем".
> как оно там сделано у Эльбрусов - большой-большой военный секрет, и "мы вам о них не расскажем".Не секрет. При спекулятивном выполнении флаг доступа проверяется. В отличии от Intel'я.
>В пределах юзерспейса банального, прочитать что-то, лежащее в чужой памяти - вам не дадутВот тут то и засада.
Операции не работают с памятью, они работают с кешем. Кеш быстрее.
Отседова и атака. Читается своя памыть. Просто фрагмент этой памяти заставили загрузится в кеш в зависимости от содержимого ячейки, доступа к которой нет.
Происходит это потому, что подгружать кеш в момент выполнения - поздно ибо операция все одно будет ждать память. Для чего и придумали грузить в кеш предварительно. Естественно предсказание, какая память понадобится не точно, ибо точно будет известно только когда операция будет выполняться (т.е. поздно). Вот и считалось, что мусор в кеше не сильно вреден. Оказалось вреден. Не погружать в кеш пока все не будет проверено (читай не использовать кеш), слишком медленно, никто не хочет в эпоху 386.
Бред и троллинг. Хоть немножко бы о предмете почитали...
> Я вот не понимаю, почему это не решается на уровне микрокода?Решается, но по дефолту не включается так как присутствует потеря производительности, из-за которой интел боится за низкие показатели в тестах будующих и текущих ксеонах/десктопах.
А чтобы включить это решение приходится в ядро добавлять опцию включения по всей видимости, не удивлюсь что если для включения нужена перезагрузка. Патч не смотрел.
Емнип те же разработчики из Epic Games пожаловались что из-за патчей на meltdown аж 70% в их оптимизированном игровом сервере. Добавь к ним еще новые потери от reptoline/ патчи интеля.
Геймеры на вантузе схавают любой маркетинг, а серьезный заказчик железа в один прекрасный момент может плюнуть и уйти на AMD.
>> Я вот не понимаю, почему это не решается на уровне микрокода?
> Решается, но по дефолту не включаетсяАхаха!
> А чтобы включить это решение приходится в ядро добавлять опцию включения по всей видимости, не удивлюсь что если для включения нужена перезагрузка.
ЛОЛ! "Не удивлюсь если для изменения boot parameters нужна перезагрузка"
> Патч не смотрел.
Эксперты в треде! Все в машину! Ж))))
Вообще-то тот же kpti через /sys на лету можно включать/выключать, например. Так что не факт, что ТОЛЬКО boot parameters
> Вообще-то тот же kpti через /sys на лету можно включать/выключать, например. Так
> что не факт, что ТОЛЬКО boot parametersНе уверен что речь была именно про kpti, но за инфу спасибо.
Проверять её я конечно же не буду.
CentOS 7# echo 0 > /sys/kernel/debug/x86/pti_enabled
# echo 0 > /sys/kernel/debug/x86/ibpb_enabled
# echo 0 > /sys/kernel/debug/x86/ibrs_enabledВ CentOS 6 тоже можно, но сначала нужно
mount -t debugfs nodev /sys/kernel/debug
> Вообще-то тот же kpti через /sys на лету можно включать/выключать, например.Назрела жёсткая необходимость в KPTI namesapces! С интеграцией в s-d и intel-me!1111 И nvidia-drv111
Пусть уже $SUBJ делом займётся. SUIDы выкинуть, intel_ns в массы intelligence community-ев.
Решительно! Прогрессивно!11 >!<
>Так
> что не факт, что ТОЛЬКО boot parameters
> Назрела жёсткая необходимость в KPTI namesapces! С интеграцией в s-d и intel-me!1111Это же гениально! И AMD опять в ж останется, пока не заимплементит аналогичные "фичи" у себя в процах. И на коробках с процами будет что написать: Support Win10(TM) and KPTI Namespaces(TM)!
>> Назрела жёсткая необходимость в KPTI namesapces! С интеграцией в s-d и intel-me!1111
> Это же гениально! И AMD опять в ж останется, пока не заимплементит
> аналогичные "фичи" у себя в процах. И на коробках с процами
> будет что написать: Support Win10(TM) and KPTI Namespaces(TM)!Полено, namespaces -- в ядре.
Учит вас Ленарт, учит, а всё целина непаханая.
в NVMe неймспейсы таки есть :)
> Патч не смотрел.А пейсатели (не читатели) - они все такие.
Потому, что микрокод не исправит кривую архитектуру железа.
По всей видимости микрокод может только отключть функциональность спекулятивного выполнение что влечет за собой потерю производительности. И не маленькую потерю если редхату пришлось откатывать микрокод интеля ради своих заказчиков, но это не отменяет того факта что система дырявая.
Если читать новости, то можно узнать что всем продаванам пофиг на производительность, мол кому надо - докупят, а вот то, что часть систем превращается в тыкву, а вторая начинает рандомно ребутаться - это уже косячок-с.
Это смотря где что читать, если пойти читать отзывы на aws (какбы прямое отражение ситуации во всех облаках) то клиенты не довольны когда им с бухты барахты внезапно нужно заплатить в 2 раза больше за ту же самую производительность что была в 2017 году или отчего их cpu загружены под 100%.Это только местным анонам пофиг на произодительность, они кроме браузера для пронхаба не запускают.
Да задолбали вы со своей потерей. Потеря-потеря. Не потеря а маркетинг. Все побежали за новыми процами а интелы и рады. Тесты проводили, если потеря и есть то какие-то сотые проценты. Можно запросто найти в интернете, главное не ходить на сайт интел и не читать их красивые таблички, где 8-10% производительности на старых процессорах и 20% на новых. Все в магазины!
Сказочник, то были тесты сугубо вычислительные. А теперь внимание, срыв покровов, в чисто вычислительном тесте не нужно как правило переключаться в ядерный режим. Это становится нужно когда появляется ну сеть к примеру или интенсивное общение с дисками. И вот тут вы должны пройти не игро тесты, а за информацией о загруженности серверов пройдите на другие ресурсы отличные от тех что тестируют игры.
потому что на этом уровне это невозможно решить
Потому же, почему и тебя на уровне ДНК не пропатчишь.
Генетические мутации, вирусов, переписывание генома
штеуд явно решил повторить путь sco - больше юристов в штате, они то уж точно знают как решать проблемы. а свои гавенные процы можно и за откаты впаривать, в 90-ых ведь уже такая фигня проканала ;)
Интел всё, видимо нормальных экспертов нет, лишь "специалисты поддержки" для имитации бурной деятельности за ползарплаты.
> Интел всё, видимо нормальных экспертов нет, лишь "специалисты поддержки" для имитации бурной
> деятельности за ползарплаты.Нет. Просто они не платиновые[I]!
> Линус Торвальдс вышел из себяОн хоть иногда входит обратно? "Тук-тук, разрешите войти." Его интересно узнают по возвращении постоянные обитатели, или уже забыли про его существование?
>> Линус Торвальдс вышел из себя
> Он хоть иногда входит обратно? "Тук-тук, разрешите войти." Его интересно узнают по
> возвращении постоянные обитатели, или уже забыли про его существование?Читайте поменьше советских перепевок форониксов. Тогда, может, не будете считать всех вышедших из себя.... оставившими дома ещё хор голосов.
Предлагаю Вам натурный эксперимент: почитайте недельку LKML -- сами и ответите, узнают ли его там (Вы ж это имели в виду -- а не узнают при возвращении "в себя"??).
> Вы ж это имели в виду -- а не узнают при возвращении "в себя"??Что имел, то и сказал. Что сказал, то и имел.
Я имел в виду именно "вышел из себя". Эта фраза подразумевает, что человек сделал что-то несвойственное ему, "Я", как бы, вышло на минутку в туалет, и пока справляло свои дела, тело само тут понаворотило, чёрти что, жену убило, в LKML поматерилось, а "Я" как бы и не при чём, "Я" просто долго стряхивало, а потом ещё руки мыло. Но можно ли говорить о том, что для Торвальдса несвойственно материться в списке рассылки? С ним такие залёты случаются не реже, чем раз в год, по-моему, причём на протяжении десятилетий. Он обкладывал разработчиков FreeBSD, он обкладывал Поттеринга, он факи показывал нвидии... Это то, что навскидку вспоминается.
Это его нормальный рабочий режим, я бы даже "жёстко" убрал из заголовка. Жёстко было с адептами системды и кдбасом, а тут - очевидные вещи просто сказаны не свойственным корпорастам языком. Тем корпорастам, которые в анонсе про уязвимость пишут: "мы верим, что наши процессоры самые секурные в мире!". Так что всё ок, просто никто никому не лижет.
> вещи просто сказаны не свойственным корпорастам языком. Тем корпорастам, которые вкорпорасты на людях не матерятся, а не на людях матерятся. Просто Линус честынй.
> Он обкладывал разработчиков FreeBSD, он обкладывал Поттеринга, он факи показывал нвидии...
> Это то, что навскидку вспоминается.А не по делу было? Я бы ещё и не так обложил, да ещё и приложил.
Так не об этом речь, по делу или нет, правильно или нет. Человек говорит, что для Линуса такой разговор обычен и применять «вышел из себя» тут якобы некорректно.
Насколько я отслеживал события, Линус достаточно жестко в рассылках пишет, но ему совсем "рвёт крышу" только если уже конкретное амбре пихают. И тогда да, факи летят много чаще и по конкретным адресам. За дело, кстати.
Да ладно тебе доказывать тут что-то. Просто мне последнее время смешно почему-то, когда я читаю на опеннете фразы типа "Торвальдс вышел из себя". Торвальдс не упоминается на опеннете, если он не вышел из себя. То есть, если зашла речь про Торвальдса, можно быть уверенным что разговор пойдёт о факах и бычьем дерьме.
> LKMLАга, помню как там письмо Линуса опубликовали, которое чуть больше, чем полность состояло из "fuck", "fuck you" и "fucking".
#>> Читайте поменьше советских перепевок форониксов. Тогда, может, не будете считать всех вышедших из себя.... оставившими дома ещё хор голосов.
#>> Предлагаю Вам натурный эксперимент: почитайте недельку
>> LKML#>> -- сами и ответите, узнают ли его там (Вы ж это имели в виду -- а не узнают при возвращении "в себя"??).
> Ага, помню как там письмо Линуса опубликовали, которое чуть больше, чем полность
> состояло из "fuck", "fuck you" и "fucking".Нет, не "ага". Даже не "ой" и не "пук".
Посмотрим как бы ты себя повел когда тебе врач (штеуд) предлогает установить кардиостимулятор при абсолютно здоровом сердце (linux)?
> Посмотрим как бы ты себя повел когда тебе врач (штеуд) предлогает установить
> кардиостимулятор при абсолютно здоровом сердце (linux)?Но всяко не стал бы выходить из себя. Осознанность своего поведения, то есть понимание всех последствий своего поведения, сознательное принятие их -- это то, что я развиваю в себе давно. Если бы я начал ругаться с врачом, то я бы делал это сам, не выходя никуда из себя, и, отмечу, с полным погружением в эту деятельность и со всей возможной отдачей: осознанность помогает погружаться в свою деятельность и проживать текущий момент во всей его полноте.
Продолжайте наблюдение. Мы с вами свяжемся.
> Продолжайте наблюдение. Мы с вами свяжемся.Ой, да связывайтесь сколько угодно. Я завсегда пожалуйста.
> Но всяко не стал бы выходить из себя. Осознанность своего поведения, то
> есть понимание всех последствий своего поведения, сознательное принятие их -- это
> то, что я развиваю в себе давно.И Торвальдс это развил в себе до небывалых величин. Если ты будешь сюсюкаться с маркетоидами, они покормят тебя г-ном за твои же денежки, нисколько не краснея.
Они понимают только вызов в суд, удар по кошельку или вот такой хороший посыл патчей в пешее эротическое, с уроном для репутации за халтуру по всей планете. Менее радикальные меры корпоративным винтикам что слону дробинка. А тут глядишь потери превысят болевой порог и винтиков нахлобучат, так что патчи переделают без джамшутинга и микрокод сделают не левой пяткой. Может быть. Потому что у интеля маркетинга всегда было больше чем инженерии.
>> Но всяко не стал бы выходить из себя. Осознанность своего поведения, то
>> есть понимание всех последствий своего поведения, сознательное принятие их -- это
>> то, что я развиваю в себе давно.
> И Торвальдс это развил в себе до небывалых величин.Если ты прав, то фразы типа "Торвальдс вышел из себя" оскорбляют Торвальдса, приписывая ему то, чего он не делал.
> Его интересно узнают по возвращении постоянные обитателиэто ты тараканов имеешь в виду? Конечно узнают. "хазяина пришел, сейчас кормить будет!"
И да, интеловский патч, значить, треш и кака (хотя он-то, похоже, решает хотя бы известные проблемы - насчет теоретически возможных - хз), а kpti (не решающий никакой вообще проблемы, потому что защищает только ведро от юзерспейса) и рептолайн (тоже не решающий толком проблему, поскольку опять же только в ведре) - это, конечно, шадевры гения. Жаль, что производительность все равно падает вдвое.
P.S. и да, я бы на вашем месте не торопился скупать последние чипы amd втридорога - что-то они быстро заткнулись со своими бравурными докладами о неуязвимости для spectre.
Скупать надо древние (современные - уязвимы) атомы, как-то обходившиеся вообще без branch prediction. Где бы только их взять...
> P.S. и да, я бы на вашем месте не торопился скупать последние
> чипы amd втридорога - что-то они быстро заткнулись со своими бравурными
> докладами о неуязвимости для spectre.
> Скупать надо древние (современные - уязвимы) атомы, как-то обходившиеся вообще без branch
> prediction. Где бы только их взять...На Али. Только вот я не уверен в полезности этих. Там же по десятке-двадцатке россыпи ксеонов под сокеты 771-й и 1366-й. По таким ценам вполне можно закрыть глаза даже на половинное проседание их прыти, если ставить в платы с несколькими сокетами многоядерные процессоры с кучей кеша на борту. Я себе, например, приобрёл такое на сдачу от сигарет, не жалуюсь.
И пишу этот комментарий с такой машинки, собственно.
и что, в этих процах нет спекулятивного исполнения и они типа не подвержены?
> вполне можно закрыть глаза даже на половинное проседание их прытипроблема не только в половинном проблеве мимо таза - проблема в том, что эти патчи ничего не исправляют.
Ну то есть, наверное, интеловские+микрокод (который может не работать или глючить на этих камнях, причем это тебе не хасвел, чинить никто не собирается) вторую версию спектра прикрывают, насчет первой - большие сомнения, а твой meltdown всегда с тобой.ну и эта... жгут же платы те ксеоны, хз из чего их китайца выпилила...
> проблема не только в половинном проблеве мимо таза - проблема в том,
> что эти патчи ничего не исправляют.
> Ну то есть, наверное, интеловские+микрокод (который может не работать или глючить на
> этих камнях, причем это тебе не хасвел, чинить никто не собирается)
> вторую версию спектра прикрывают, насчет первой - большие сомнения, а твой
> meltdown всегда с тобой.Выбирать всё равно не из чего (если не считать АМД, старые атомы да всякие мипсы и паверы, за альфы не уверен). Зато, по крайней мере, теперь всем уже точно известен секрет более высокой производительности интеловской архитектуры. И оно того сто́ило, на мой взгляд.
Ничего глобально страшного не произойдёт в откате на один порядок вниз в чистой вычислительной скорости. Наборот, мир давно нуждается в оздоровлении и очищении от продуктов деятельности гoвнoкoдeрoв и всячески потакающих им разработчиков процессоров.
> ну и эта... жгут же платы те ксеоны, хз из чего их
> китайца выпилила...Платы брать у китайцев я бы не рискнул, а процессоры по такому ценнику можно брать на вес. Да и не очень-то китайцы партачат, и достаточно вменяемы при общении, насколько это возможно при их (не)знании иностранных языков. В общем, пока УМВР.
> от продуктов деятельности гoвнoкoдeрoвВаш пост огорчает быстрописателей на интерпретируемых языках.
>> от продуктов деятельности гoвнoкoдeрoв
> Ваш пост огорчает быстрописателей на интерпретируемых языках.А уж как меня огорчает сравнение быстродействия и потребления всех видов памяти пятого фотошопа с сегодняшим гуглобраузером…
> А уж как меня огорчает сравнение быстродействия и потребления всех видов памяти
> пятого фотошопа с сегодняшим гуглобраузером…серьезно? Ну простите, мы старались как могли, но ничего не могли поделать - даже ценой отказа от нормальной работы с 16-бит глубиной цвета (большая часть фильтров -тю-тю, с цветовыми профилями опаньки, а то что оставалось, работало не всегда правильно (часто - вовсе неправильно)). Много чего упиралось в ограничения 32битной архитектуры и четыре гига оперативы в среднем компьютере (и не надо нас ругать за "scratch disks", это в CS уже наши индусы обсдались, в пятом это был единственный возможный вариант).
Но все ж таки учтите, что гуглобраузер _на_лету_, прямо в процессе рендеринга страницы, выполняет над 4k (огромный, почти неворочаемый в дни пятого фотожoпа размер) и может даже 16 бит картинкой те преобразования, ради которых мы по пятнадцать минут скребли своим scratch.
(и да, он их умеет, включая маски, управление цветом и т д. И не требует "staircase action" для качественного масштабирования.)И нет, вы вряд ли хотите обратно к фотографиям, либо размером с почтовую открытку, либо с явно видимыми пикселями (когда любой пленочный фотограф мог походя ткнуть вас носом в недоразвитость вашей технологии). И к любимому 15" монитору вместо 40" 5k чудовища.
P.S. и что за козeл зарегистрировал тут логин с нашей торговой маркой? Мы подавать на него суп!
Сделал только что в пятом фотошопе почтовую открытку, разложив на холсте 20000х20000 точек 35 полноцветных картинок из классической живописи размером ~ 3630x2540 каждая. Фотошоп съел полтора гига памяти и ворочается тяжело, но прожевал это извращение. Открытка получилась почти в два гига размером. Накладные расходы жевания, само собой, пришлись прежде всего на IO и на довольно скудную производительность моего бюджетнейшего процессора из прошлого десятилетия.Расскажите мне ещё сказок про то, как хромой гуглобраузер превосходит фотошоп.
> Фотошоп съел полтора гига памяти и ворочается тяжело, но прожевал это извращение.в смысле, он кое-как сумел ЭТО вообще удержать в памяти и может даже сохранить на диск?
А как насчет попробовать это аккуратно отресайзить, вдвое, к примеру? (unsharp mask не забываем, стандартная практика времен пятого фотошопа). А если undo на каком-нибудь этапе нажать?
Про положить сверху градиентную маску и попробовать поверх этой маски наложить слой с чего-нибудь-редактированием я уж не спрашиваю, результат и так понятен.на практике работать даже с вполне скромными 4000x3200 16-bit tiff было на редкость унылым времяпровождением. Даже если подложить под scratch виртуальный диск в памяти винды.
Вы в самом деле осознаёте то, что я вам писал? Я в древнем пятом фотошопе сделал, пусть со страшным скрипом и страданиями, открытку на 400 мегапикселей. Полноцветных. С тремя десятками слоёв внутри файла. Таких изображений даже сейчас, спустя без малого двадцать лет после выхода того древнего фотошопа, никто не делает, кроме трёх с половиной профессионалов некоторых редких специальностей.
> ну и эта... жгут же платы те ксеоны, хз из чего их
> китайца выпилила...Я вспомнил кое-что по этой теме. Желательно брать младшие и средние модели. А старшие, которые с наиболее быстрой (разогнанной, говоря по существу) шиной и мартеновским тепловыделением, брать не надо, они как раз и делают проблемы. Штеуд в те годы наклепал не только печек, но и 50-ваттных и 80-ваттных процессоров — они несколько тормознуты, по сравнению со старшими, но зато холодны. У меня такой вот прямо щас показывает 33 градуса средней температуры, а разброс по ядрам — от 28 до 38.
> ну и эта... жгут же платы те ксеоны, хз из чего их
> китайца выпилила...Охлаждение надо адекватное , да
>> ну и эта... жгут же платы те ксеоны, хз из чего их
>> китайца выпилила...
> Охлаждение надо адекватное , даСтандартные кулеры, которые пакуют в брендовые серверы (Dell, HP, IBM и пр.), вполне на уровне. Воют, конечно, спасу нет. Но решаемо заменой излишне громких вентиляторов. Мне моя практика показывает, что нет реальной необходимости в вентиляторах-пятитысячниках, то всё двух- и даже трёхкратная перестраховка как раз от сгорания (тех же плат) при 150-ваттных и более горячих процессорах. Если организовать вполне стандартный современный продув корпуса тихими вентиляторами, то на процессоры достаточно тихих же, максимум на 2 с мелочью тысячи оборотов. Сразу становится почти тихо. Это всё, впрочем, не надо для ЦОДа и нормальной серверной комнаты, разумеется.
>если ставить в платы с несколькими сокетами многоядерные процессоры с кучей кеша на бортуНа моем AMD FX по 2 МБ L2 доступных ядру + 8 Мб L3, есть конкуренты? :D
> На моем AMD FX по 2 МБ L2 доступных ядру + 8
> Мб L3, есть конкуренты? :Dну у меня в стойках те конкуренты стоят. Произведено интелом в 2013м, что-ли, году.
чуть меньше двух l2 (там l2 не плоский, блоками по 256k, его глупо мерять суммой блоков) и 15 (!) l3. Ядер, что характерно, 6 (то есть по блоку на ядро, но это, опять же, примерно так).
Причем прикол не только в размере, но и в том что это 20-way l3. Предназначалался в первую очередь для виртуализационного железа.Xeon(R) CPU E5-2620 - то есть поколение даже еще более старое чем то, которое нашему бородатому другу отсыпают китайцы по $20 пучок.
(лучше не знать, сколько оно в том 13м году стоило)
>>если ставить в платы с несколькими сокетами многоядерные процессоры с кучей кеша на борту
> На моем AMD FX по 2 МБ L2 доступных ядру + 8
> Мб L3, есть конкуренты? :DAMD FX (особенно 8ххх) сильно недооценённый камень. Вангую, что со временем их назовут легендой, шедевром и прочими красивыми словами.
У меня где-то Pentium 100 валяется, надо?
> У меня где-то Pentium 100 валяется, надо?http://www.ebay.com/itm/Intel-Pentium-III-Celeron-Tualatin-1...
> Для блокирования эксплуатации второго варианта уязвимости Spectre (CVE-2017-5715) добавлен механизм retpolineУже в 4.9.77, кстати.
CONFIG_RETPOLINE=y
CONFIG_GENERIC_CPU_VULNERABILITIES=y
рептолайну нужен специальный GCC.
В SUSE и RHEL даже gcc-4.8 уже такой "специальный".
Все это костыли, обнови серверный парк на AMD и живи как человек.Intel продавай под майнинг сервер, как дефетный продукт с их материнками...
> Все это костыли, обнови серверный парк на AMD и живи как человек.Интересно, у них сейчас фабрики справляются... нам-то пока не к спеху ;-)
Миш, вот эти бери!
https://www.ebay.com/itm/Server-Supermicro-Intel-Atom-D525-M...working great - мы из такого дерьма в известной тебе компании dedicated hosting делали (там если в паре мест кувалдой йапнуть - в один корпус помещаются две платы и еще кое-как можно запихать два диска. Турбинка эта, правда, воет как взлетающий ту-144, но кого это колебет)
насколько я помню, там ни branch prediction, ни speculative execution. ядро одно, htt в помине нет, что перекрывает кучу side-channel утечек. Даешь impenetratable hosting заподорого!
Жаль, что его придется создавать в штатах, поскольку сюда ввести этот техногенный мусор не получится никак.
У меня дома три бокса именно на этом Атоме (мамка тоже интеловская). Макс. 4 гига. Для "посидеть в интернете" -- самое то. Начал, правда, задумываться об апдейте, но после этих Спектро-Мелтдаунов посижу ещё годик.
> У меня дома три бокса именно на этом Атоме (мамка тоже интеловская).естественно, оно ж неразборное и только в таком комплекте камень+спецчипсет и живет.
> Макс. 4 гига. Для "посидеть в интернете" -- самое то. Начал,на опеннете, you mean, didn't you? как попадется картинка покрупней, а то, о ужас, еще и видео не размером с ладошку - опаньки.
если брать d2700 (на пять лет моложе) - то уже можно и "посидеть в инете", но только с 32битной винды и по-моему, только 7 - специфичный видео-ускоритель в него встроенный, толком не поддерживался прямо со старта продаж. У линукса там вообще гора нерешаемых проблем, с фрей не работает.
а те железки что на картинке были именно для дешевых и надежных (хихи, но можно ж и руками все делать) collo/prod, которым защищенность платформы важнее мощности на ватт (жрало по современным меркам не так-то и мало). Интересно, regru их выкинул, или все еще где-то греют воздух...
> естественно, оно ж неразборное и только в таком комплекте камень+спецчипсет и живет.Неразборное это да, но мамки на атомах клепали все, кому не лень. А я искал именно интеловские.
> если брать d2700 (на пять лет моложе) - то
он уже подвержен Спертро-Мелтдаунам и брать его не надо.
> уже можно и "посидеть в инете", но только с 32битной винды
Для меня это взаимоисключающие понятия.
> если брать d2700 [...] У линукса там вообще гора нерешаемых проблемНу как сказать: http://www.altlinux.org/Intel_GMA_500/600
Причём пару лет назад на интерполитехе воткнули с одними ребятами, которые притащили тудой "защищённый планшет" или индустриальник с сенсорным экраном, не помню точно, но вот на этсамом -- флэшку с седьмым альтом. Так вот оно ВСЁ завелось и в родном разрешении. Ребята обалдели -- говорят, мы туда что только ни пихали, всё с какими-то косяками, а тут лежат себе в интернете стартеркиты...
PS: или то была "новая электроника"...
>> если брать d2700 [...] У линукса там вообще гора нерешаемых проблем
> Ну как сказать: http://www.altlinux.org/Intel_GMA_500/600* Kernel 3.0.0 (можно использовать ядро std-def из p6 начиная с kernel-image-std-def-3.0.24-alt0.M60P.2)
* Mesa 7.9
* Xorg 1.9
добавлю от себя что не просто 3.0.*, а 32-bit-non-PAE only (часть и так небогатой памяти такой машинки теряется безвозвратно)при этом оно очень интересно глючит в некоторых довольно банальных ситуациях.
Hyper-Threading Technology там есть
> Hyper-Threading Technology там естьи точно, гоню, там вообще красота:
# of Cores 2
# of Threads 4
Processor Base Frequency 1.80 GHz
Cache 1 MB L2
Bus Speed 2.5 GT/s DMI
TDP 13 W- налетай, пару-тройку виртуалок под чем-нибудь типа xen (напоминаю - призраков мы не боимся, поэтому можем pv) потянет.
И недорого.
Чо, у кого волосатые лапы есть в таможне - мож ввезем?
> Даешь impenetratable hosting заподорого!Ой, видели б Вы прямщас мой стол :]
>> Даешь impenetratable hosting заподорого!
> Ой, видели б Вы прямщас мой стол :]ненене - я имел в виду бизнес, а не наоборот ;-) В смысле - заподорого с ло...э...дорогих клиентов, жаждущих неуязвимую систему, а не самому подорого вложиться и потом искать еще большего ло...э...кому бы это впарить хоть за какие деньги.
А вложиться эвон вот в ту стопочку по 150 баксофф штучка.
(там одни только корпуса дороже стоят)
> Ой, видели б Вы прямщас мой столДа видели мы уже твой стол с иконами, видели...
> Да видели мы уже твой стол с иконами, видели...стол с иконами каждый дурак может поставить, ты научись на таком столе хотя бы опеннет читать, потом приходи!
У некоторых, как видим, получается.
> Все это костыли, обнови серверный парк на AMD и живи как человек.Угу у нас заказчик на 5М баксов обновил серверный парк в прошлом году :)
Пришло время подумать о следующем апгрейде!!!
Ввести налог на интел в стране, причём при выводе средств в сторону intel 50% отправлять на счета цб.
главное — всю эту бесполезную херь можно поотключать.
Теперь понятно, почему так к спеху обновилось 8-е поколение и в него докинули ядер. Для компенсации воздействия патча.
Первый же работающий эксплоит заставит замолчать всех, поставить все патчи и докупить оборудования. Другого выбора особо и нет. Проблема в принципиальной технологии, которую нельзя отменить без проблем.А пока эксплоит только в лабораториях, все спокойны.
Давно уже.
И самое интересное что больше трех месяцев минимум.
> Первый же работающий эксплоит заставит замолчать всех, поставить все патчи исамовыпилиться в сортире.
Потому что spectre, если ты еще не понял, не сводится к двум опубликованным PoC.
Которые, _индивидуально_ каждый, и обходят патчами.> А пока эксплоит только в лабораториях, все спокойны.
давно уже in the wild. но это _read_ exploit, не оставляющий тебе на память следов - поэтому спи спокойно, дорогой товарищ, то чего не видишь, не оскорбляет желудка.
Side-channel exploits in the wild вообще не встречаются ввиду невоспроизводимости на более-менее нагруженных системах.
> Side-channel exploits in the wild вообще не встречаются ввиду невоспроизводимости на более-менее
> нагруженных системах.Главное - верить!
> Первый же работающий эксплоит заставит замолчать всех, поставить все патчи и докупить
> оборудования. Другого выбора особо и нет. Проблема в принципиальной технологии, которую
> нельзя отменить без проблем.
> А пока эксплоит только в лабораториях, все спокойны.Есть такие места, где нет возможности к горизонтальному расширению, может это проделка Oracle которая активно пиарила на OpenDay свои новые процессоры для exadata
MIPS'ы в роутерах с ботнетами что-то никого особо не заткнули. Всем поx.
Ботнеты в роутерах от login: admin, password: admin, а не от наличия в них MIPS'ов.
> Ботнеты в роутерах от login: admin, password: admin, а не от наличия в них MIPS'ов.Вот именно - пофигизм не зависит от аппаратуры.
Пофиг, у меня малинка
> Пофиг, у меня малинках64 армы тоже с уязвимостями.
> х64 армыТакого не бывает. х64 это AMD64 в монстрософтовском произношении.
вантузодети, что с них взять? На тему армов64: не все уязвимы, а только умеющие out-of-order
>> х64 армы
>Такого не бывает.Вот поэтому и неуязвимы.
>>> х64 армы
>>Такого не бывает.
> Вот поэтому и неуязвимы.0_0
Как это я про такое не подумал... :D
>> х64 армы
> Такого не бывает. х64 это AMD64 в монстрософтовском произношении.АМДа тоже АРМы делать пыталась. :D
Ну согласен, 64 bit правильно будет.
> АМДа тоже АРМы делать пыталась. :DКста! Буквально сегодня читаю - https://gnu.org/software/guix/blog/2018/aarch64-build-machin.../
ARM Holdings задонатило проекту GNU Guix аж две aarch64 машины в билд-ферму.И эти SoftIron OverDrive 1000 https://softiron.com/development-tools/overdrive-1000/ - неожиданно на тех самых AMD® Opteron™ A1100 SoC, которые AMD
выпустила-выпустила http://www.ixbt.com/news/hard/index.shtml?17/60/68 точно-точно уже-уже http://www.ixbt.com/news/2016/01/15/amd-opteron-a1100-cortex...
, объявила-задвинула на второе место http://www.ixbt.com/news/2016/08/13/amd-vozvrashaet-arhitekt... после Zen
и с песнями "произвидительность не того" отдала серверы http://www.ixbt.com/news/2016/02/07/google-mozhet-nachat-isp... квалкому.
С тех пор много воды утекло, Zen уже стал Ryzen-ом http://www.ixbt.com/news/2016/12/14/amd-summit-ridge-2017-ry... ,а тот cortex-A57 (=в A1100) уступил место в новостях какому-то новомодному A75
, а про сообщения про A1100 всё поразительно вновинку...
Пора (четыре ж года?...) брать в руки лобзик и пилить десктоп на рокчипе. Или ещё "немножко"ТМ %) подождать...
> Ну согласен, 64 bit правильно будет.
Не, Cortex A53 и А55 без спекулятивного выполнения, так что малины и большинство телефонов, ну кроме распоследних топовых и яблокофонов, не подвержены
А было бы не плохо грамотно и эффективно решить проблему первыми и выпустить заплатки под лицухой GPL v2. То-то Майкрософт и Яблософт задергались бы: патчи взять себе в свои ОС лицензия не позволяет, а ничего не делать тоже не получается - кастомеры не правильно поймут.
GPL так не работает.В этом контексте мог бы помочь только патент. Упс, но патентная система работает на корпорастов, как её ни крути.
> А было бы не плохо грамотно и эффективно решить проблему первыми и
> выпустить заплатки под лицухой GPL v2. То-то Майкрософт и Яблософт задергались
> бы: патчи взять себе в свои ОС лицензия не позволяет, а
> ничего не делать тоже не получается - кастомеры не правильно поймут."Печалька" в том что заплатки не получаются адекватными, аппаратный провал можно залатать только снижением производительности, а падение производительности в "Частном облаке" какого-нибудь крупного банка/ритейлера - это прямые финансовые потери (тут вообще могут кого-нибудь с бетонными сапогами в озере найти из причастных, слишком много клиентов затронуто).
Я думаю самый серьёзный удар будет по облачникам(провайдерам в т.ч.), т.к. если standalone сервера можно прикрыть от выполнения непонятно откуда взявшегося кода то с облаками(даже внутри компании) всё хуже
>кастомеры не правильно поймутКастомеры сожрут и добавки попросят. Они у МС и Ябла дрессированные.
Какую-то чушь написал. Какбэ патчи весьма ОС специфичные, да и у той же Apple и у компании <CENSORED> вполне себе нормальные наработки и залатки на эту тему есть.
"Для отключения PTI во время загрузки ядру можно передать опцию pti=off, а для отключения retpoline - опцию "spectre_v2=off"."
Ждём статьи и мануалы по увеличению производительности системы)
Прям аж вспомнилось, как в стародавние времена мы добавляли /noexecute=alwaysoff в в-ндовский boot.ini. На производительность это не влияло почти никак, но я не припомню, чтобы встречал хотя бы одну хаутушку без этого хака.
> Прям аж вспомнилось, как в стародавние времена мы добавляли /noexecute=alwaysoff в в-ндовский
> boot.ini. На производительность это не влияло почти никак, но я не
> припомню, чтобы встречал хотя бы одну хаутушку без этого хака.Она и не должна была влиять на производительность, но помогала в случае кривых драйверов на те же Canon'ы, например.
Повышай отключив необходимое:
https://01.org/linuxgraphics/gfx-docs/drm/admin-guide/kernel...
> Ждём статьи и мануалы по увеличению производительности системы)За всю Одессу говорить не стану, но на своём не самом распоследнем AMD никаких ощутимых замедлений не заметил :)
grep . /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/meltdown:Not affected
/sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable
/sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Full AMD retpoline
>процессоры AMD данной атаке не подверженыВ оригинальной бумаге по Meltdown:
"However, we did not manage
to successfully leak kernel memory with the attack de-
scribed in Section 5, neither on ARM nor on AMD. The
reasons for this can be manifold. First of all, our im-
plementation might simply be too slow and a more opti-
mized version might succeed. For instance, a more shal-
low out-of-order execution pipeline could tip the race
condition towards against the data leakage. Similarly,
if the processor lacks certain features, e.g., no re-order
buffer, our current implementation might not be able to
leak data. However, for both ARM and AMD, the toy
example as described in Section 3 works reliably, indi-
cating that out-of-order execution generally occurs and
instructions past illegal memory accesses are also per-
formed.Т.е. дыра в процессорах AMD есть, но авторы поленились написать эксплоит, а AMD решили не чесаться пока эксплоит не напишут. И неизвестно, что хуже т.к. Intel рано или поздно дыру залатают, а для AMD цирк ещё впереди.
AMD пояснял, что вероятность создания работающего на их процессорах эксплоита для Meltdown почти нулевая из-за особенностей работы с таблицами страниц памяти. В общих чертах https://www.amd.com/en/corporate/speculative-execution, но в lkml при обсуждении патча PTI были аргументированные доказательства.
>Для процессоров PowerPC для защиты от Meltdown добавлен код на основе применения инструкции RFIГде об этом прочитать?
Кто-то уже оценивал какие потери по перформасу на Power платформе?
Новый цикл заработки процессоров от intel - "Тяп-Ляп"
Тем временем Intel сам отзывает выпущенный более 2-х недель назад микрокод из-за спонтанных перезагрузок, которые он может вызывать.http://www.bit-tech.net/news/tech/cpus/intel-warns-users-not.../
Я так понимаю Линус стал выше процессоров? И если для него это куча мусора, то порассказал бы процессорным гигантам как и что надо сделать. Или его в каждом процессоре забанили на уровне микрокода?
И кем бы сечас был бы Торвальдс если бы не процессор от Intel i386?
Интересно а что бы сказал Борис Арнашесович Бабаян и Линусу и процессорным гигантам ? Я, насколько понимаю, что Эльбрус об Мельтдауна и Спектра просто вытирает свой ][#й, оставляя нервно курить в угул Intel+AMD.
> Я так понимаю Линус стал выше процессоров?Вы просто не поверите.
> И если для него это куча мусора, то порассказал бы процессорным
> гигантам как и что надо сделать."А ты не воруй!" -- так, что ли?
> И кем бы сечас был бы Торвальдс если бы не процессор от Intel i386?
...в котором, на минуточку, всей этой проблемы и впрямь не было...
> Интересно а что бы сказал Борис Арнашесович Бабаян
Ср.: https://zaitcev.livejournal.com/241876.html -- а вообще ожидается публичное сообщение МЦСТ на тему мельдония и спектрумов.
Intel владеет около 80% маркета серверов и PC. Им просто стало пох...
> Intel владеет около 80% маркета серверов и PC. Им просто стало пох...и они решили скатиться на 20, для оживления (китайцами) рынка?
(причем не в силу даже фатальных конструктивных просчетов - я не вижу никого, у кого бы их не было, эльбрусы не в счет, да и их не вижу, а в силу FUD и собственной неадекватной реакции на него)