Акела промахнулся! В смысле, Интел обосрался

[zVlad]

Я что еще думаю, ребята. Что-то там можно делать в браузере кодом загруженным с сайта. Но если у нас сервер, с которого браузер никогда не запускается ни на какие сайты, то это все не релевантно получается. Да и вообще все эти дырки могут быть использованы проникшим кодом т.е. из ненадежных источников. Если этого нет или над этим должный контроль то и бояться нечего.
Что скажите?

[StrangerR]

Ну, Хром просто предложил всегда таб открывать в отдельном процессе. Ну и давно уже загрубил счетчики.

А если код проник и он бинарный, то зачем ему спектра? Он и так все считает что хочет... Вот жабу обойти как-то наверное можно, но там не особо много можно начитать, за пределами своей песочницы.

А Z как Неуловимый Джо - что там кто пофиксил, никто не узнает, потому что никто толком на ней и не проверял наличие или отсутствие оных дырок. Не нужна она никому, эта z...

[Flash-04]

Flash-04, раз уж мы застряли на одном места то давай потопчемся.
На первой странице этой темы от helg помещена табличка состояния с тремя этими багами. В ней дается инфа по возможности фиксания для Intel и AMD. Так вот согласно этой таблице (наверное есть и другие источники) ни Spectre v1, ни v2 не могут быть пофиксаны в Intel.
Прокомментируй, пожалуйста.

Да я не знаю что там имелось ввиду, может что на данный момент фикса нет. В что прямо нельзя пофиксить никогда, вряд ли. Ведь уже были случаи с багами в Intel cpu и они выпускали пачи микрокода. Тем не менее может быть вариант что какая то логика MMU защита намертво и изменить её нельзя. Не могу сказать!

[Flash-04]

Я что еще думаю, ребята. Что-то там можно делать в браузере кодом загруженным с сайта. Но если у нас сервер, с которого браузер никогда не запускается ни на какие сайты, то это все не релевантно получается. Да и вообще все эти дырки могут быть использованы проникшим кодом т.е. из ненадежных источников. Если этого нет или над этим должный контроль то и бояться нечего.
Что скажите?

Опасность от чужого кода. Если вы можете гарантировать его отсутствие, то вы в шоколаде.

[zVlad]

....

А Z как Неуловимый Джо - что там кто пофиксил, никто не узнает, потому что никто толком на ней и не проверял наличие или отсутствие оных дырок. ...

Интересно, а кто по Вашему должен был проверять дырки в z?

[zVlad]

Я что еще думаю, ребята. Что-то там можно делать в браузере кодом загруженным с сайта. Но если у нас сервер, с которого браузер никогда не запускается ни на какие сайты, то это все не релевантно получается. Да и вообще все эти дырки могут быть использованы проникшим кодом т.е. из ненадежных источников. Если этого нет или над этим должный контроль то и бояться нечего.
Что скажите?

Опасность от чужого кода. Если вы можете гарантировать его отсутствие, то вы в шоколаде.

Я не вижу способа проникновения чужого кода на z. Во-первых, потому что z это реальный сервер, т.е. с него, в отличии от сервера под Windows не возможно коннектиться никаким браузером (url открывать из USS командой curl можно, можно веб сервисы использовать, но это все не просто так делается, не новости почитать, т.е. контроль полный за использованием).
Как эти предположения можно странслировать на, например, Интел сервера? Прокомментируйте.

[Flash-04]

"чужой код" - это по сути любой код не созданный вендором. как там с 3rd party приложениями под "Z", вообще ничего нет что писало не IBM?

С другой стороны, вы же говорили что есть Linux "Z" и его используют? вот там может быть что угодно.

[zVlad]

"чужой код" - это по сути любой код не созданный вендором. как там с 3rd party приложениями под "Z", вообще ничего нет что писало не IBM?

С другой стороны, вы же говорили что есть Linux "Z" и его используют? вот там может быть что угодно.

Конечно все это есть, от 3rd party. Но, как правило (за исключением очень тривиальных штучек, продукты закупаются оффициально с договорами и обязательствами сторон. И это продукты от вендора получается. В zLinux тоже что угодно не ставится (у нас zLinux нет вообще).

[zVlad]

Появилось несколько алертов по zSystem.

Описание новой команды в z/VM для отключения спекулятивного вуыполнения:

Use SET SPECEX to control enablement of speculative execution in the machine based on the virtual machine that is dispatched. Speculative execution is
an optimization mechanism designed into the processor to improve system performance.

The standard virtual-machine isolation and protection mechanisms in z/VM are designed to prevent code run in an unprivileged virtual machine from
interfering with or gaining unauthorized access to resources or data owned by the z/VM control program or by other guests. SET SPECEX OFF offers an additional layer of protection to defend against sophisticated information-leak attacks that might be attempted by malicious or compromised code in an untrusted virtual machine. Disabling speculative execution may increase system overhead and reduce capacity or throughput.
z/VM maintains a system-wide default setting for speculative execution.
The default when z/VM is IPLed is SPECEX ON.

Не думаю что все пользователи z/VM бросятся отключать спекуляции и терять производительность.
Наличие дыры, как мы здесь уже выяснили, еще далеко не возможность ей воспользоваться. В условиях нормальной гигиены, а этим как раз славен мэйнфрэйм, можно не париться с прививками. как то так.
Кроме того, надеюсь вы обратили внимание что это может делаться на уровне виртуальной машины.

[Dmitry67]

В условиях нормальной гигиены, а этим как раз славен мэйнфрэйм, можно не париться с прививками. как то так.

У ботаников тоже отличная гигиена - никакого риска заразиться венерическими болезнями от своей же руки
Вот только рады ли они этому?

[zVlad]

Второй алерт по поводу патча для z/OSMF. Это новомодный GUI (z/OS Management Facility), состоящий из двух частей: под Windows, и в TSO на МФ. Патч видимо есть для той части что под Windows и toj что в zOS. Алерт, о котором я говорю про то что в z/OS.

z/OSMF вроде как для "молодых администраторов z/OS" был задуман, которые якобы "хотят иметь GUI". Я лично никогда им не пользовался и считаю это пустым занятием не облегчающим, а наборот усложняющим мне жизнь потому что z/OSMF некий посредник между мной и системой. Мне никаких таких посредников не надо. Тем не менее z/OSMF много лет уже существует, развивается и бережно сопровождается и поддерживается.
Есть еще два мощных GUI: для управления сетевыми возможностями z/OS: Comminication Server (TCP/IP), и CICS. Ни того ни другог у нас нет.

[zVlad]

В условиях нормальной гигиены, а этим как раз славен мэйнфрэйм, можно не париться с прививками. как то так.

У ботаников тоже отличная гигиена - никакого риска заразиться венерическими болезнями от своей же руки
Вот только рады ли они этому?

Не уместное сравнение (хоть и понятное в твоем изложении ). У нас всегда секс только натуральный и с проверенными партнерами, мы староверы. Это на молодых, еретических, платформах извращения разные порождены. Поэтому и разговоры все больше о вирусах и презервативах от вас слышны. А то что и нас как то задело так это скорее тень на плетень чем реальная проблема. Нaш природный иммунитет справится. А вам придется рукой таки пользоваться.

[Flash-04]

я склонен согласится что важно в каком окружении сервер. Это обычно входит в список "remediation".

[zVlad]

Сегодня мы занимаемся тестированием DR некоторых приложений использующих основное приложение клиента на мф. Для этого я поднял систему с базой данной и приложением на DR site. DR site это самая слабая конфигурация zBC12 мэйнфрэйма -модель A01, т.е. это мф с одним кором производительность которого в 20(раз) меньше чем производительность модели Z01. Сейчас на этой А01 выполняется четыре zOS имиджа, в одном из которых идет производственная работа, во втором работают программисты, третий наш сэндбокс, и четвертый это DR система основного приложения загруженного с зеркала дисков этого приложения.
Жалоб на производительность не поступало.

Четыре системы, с реальной работой на мф с 1/20 мощности одного процессора(кора).

[iDesperado]

Сегодня мы занимаемся тестированием DR некоторых приложений использующих основное приложение клиента на мф. Для этого я поднял систему с базой данной и приложением на DR site. DR site это самая слабая конфигурация zBC12 мэйнфрэйма -модель A01, т.е. это мф с одним кором производительность которого в 20(раз) меньше чем производительность модели Z01. Сейчас на этой А01 выполняется четыре zOS имиджа, в одном из которых идет производственная работа, во втором работают программисты, третий наш сэндбокс, и четвертый это DR система основного приложения загруженного с зеркала дисков этого приложения.
Жалоб на производительность не поступало.

Четыре системы, с реальной работой на мф с 1/20 мощности одного процессора(кора).

видели мы эти задачи. школьный проект и то более серьезные задачи крутит. у вас 4Gb буферный кеш, при этом 98% попадание в этот кеш. с такой "нагрузкой" 1/20 мощи моего ноутбука справиться, а ведь в моем ноутбуке и памяти побольше и диски SSD

Привет, iDesperado! Рад слышать тебя снова. Надеюсь ты больше грубить не будешь и у нас получится хорошая беседа.

я бы, клоун, на твоем месте бы не рассчитывал. ведь продолжаешь все ту же тупую и провоцирующую клоунаду
Модератор: 3 дня.