1. Foren
  2. Kommentare
  3. PC-Hardware
  4. Alle Kommentare zum Artikel
  5. › ASLR: Speicherrandomisierung mit…

Alles ziemlich fadenscheinig

  1. Thema

Neues Thema Ansicht wechseln


  1. Alles ziemlich fadenscheinig

    Autor: HubertHans 16.02.17 - 15:40

    Hardware-Fehler lassen sich durch Frimware/ Microcodes beheben. Das ist schon mal das erste. Zumindest ein Teil davon.

    Das man den Cache von CPUs mit gezieltem Vorgehen so ausnutzen kann, das man an Daten herankommt, welche eigentlich nicht verfuegbar sein sollten, ist ebenfalls altbekannt.

    Wenn die Hardware bis oben hin mit Funktionen ausgestattet ist, um solche Angriffe komplett unmoeglich zu machen, ist das weit außerhalb der Preis-Leistungsgrenze. Und obendrein wird auch die Performance leiden.

    Man muss sich einfach mal damit abfinden, das es immer Luecken geben wird. Weil es einfach nichts bringt, alles abzudichten. Zumindest nicht im Großteil der verwendeten hardware. Das ist was fuer Inselloesungen mit speziellen Anforderungen.



    1 mal bearbeitet, zuletzt am 16.02.17 15:40 durch HubertHans.

  2. Re: Alles ziemlich fadenscheinig

    Autor: Nein! 16.02.17 - 15:49

    HubertHans schrieb:
    --------------------------------------------------------------------------------
    > Hardware-Fehler lassen sich durch Frimware/ Microcodes beheben. Das ist
    > schon mal das erste. Zumindest ein Teil davon.
    >
    > Das man den Cache von CPUs mit gezieltem Vorgehen so ausnutzen kann, das
    > man an Daten herankommt, welche eigentlich nicht verfuegbar sein sollten,
    > ist ebenfalls altbekannt.
    >
    > Wenn die Hardware bis oben hin mit Funktionen ausgestattet ist, um solche
    > Angriffe komplett unmoeglich zu machen, ist das weit außerhalb der
    > Preis-Leistungsgrenze. Und obendrein wird auch die Performance leiden.
    >
    > Man muss sich einfach mal damit abfinden, das es immer Luecken geben wird.
    > Weil es einfach nichts bringt, alles abzudichten. Zumindest nicht im
    > Großteil der verwendeten hardware. Das ist was fuer Inselloesungen mit
    > speziellen Anforderungen.


    Ich hoffe sehr dass du kein Software-Entwickler bist.

  3. Re: Alles ziemlich fadenscheinig

    Autor: HubertHans 16.02.17 - 16:19

    Nein! schrieb:
    --------------------------------------------------------------------------------
    > HubertHans schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Hardware-Fehler lassen sich durch Frimware/ Microcodes beheben. Das ist
    > > schon mal das erste. Zumindest ein Teil davon.
    > >
    > > Das man den Cache von CPUs mit gezieltem Vorgehen so ausnutzen kann, das
    > > man an Daten herankommt, welche eigentlich nicht verfuegbar sein
    > sollten,
    > > ist ebenfalls altbekannt.
    > >
    > > Wenn die Hardware bis oben hin mit Funktionen ausgestattet ist, um
    > solche
    > > Angriffe komplett unmoeglich zu machen, ist das weit außerhalb der
    > > Preis-Leistungsgrenze. Und obendrein wird auch die Performance leiden.
    > >
    > > Man muss sich einfach mal damit abfinden, das es immer Luecken geben
    > wird.
    > > Weil es einfach nichts bringt, alles abzudichten. Zumindest nicht im
    > > Großteil der verwendeten hardware. Das ist was fuer Inselloesungen mit
    > > speziellen Anforderungen.
    >
    > Ich hoffe sehr dass du kein Software-Entwickler bist.

    Ich bin Anwendungsentwickler... Wo liegt das Problem?

  4. Re: Alles ziemlich fadenscheinig

    Autor: bioharz 16.02.17 - 16:20

    Ich als Software Entwickler versuche schon alles abzudichten was mir einfällt. Bin auch auch kein orakle und die frameworks, der Browser, das OS hat haben auch genügend lückend die ich, wenn überhaupt, nur geringfügig beeinflussen kann.
    Trotzdem sollte man sich viele Gedanken um Sicherheit machen, egal ob in der Hardware Branche oder Software Branche.
    Bei ASLR hat man sich auch dabei viel gedacht... Nur wird jeder Algorithmus und Methode früher oder später unsicher.
    Hoffen wir das die Geheimdienste das nicht vor die Niederländischen Kollegen rausgefunden haben...

  5. Re: Alles ziemlich fadenscheinig

    Autor: MadMonkey 16.02.17 - 16:39

    bioharz schrieb:
    --------------------------------------------------------------------------------
    > Ich als Software Entwickler versuche schon alles abzudichten was mir
    > einfällt. Bin auch auch kein orakle und die frameworks, der Browser, das OS
    > hat haben auch genügend lückend die ich, wenn überhaupt, nur geringfügig
    > beeinflussen kann.
    > Trotzdem sollte man sich viele Gedanken um Sicherheit machen, egal ob in
    > der Hardware Branche oder Software Branche.
    > Bei ASLR hat man sich auch dabei viel gedacht... Nur wird jeder Algorithmus
    > und Methode früher oder später unsicher.
    > Hoffen wir das die Geheimdienste das nicht vor die Niederländischen
    > Kollegen rausgefunden haben...

    Es ist halt immer auch eine Budget, bzw. YouGetWhatYouPayFor & KnowHow Problematik. Z.B
    - Sehe ich als Entwickler noch da und da eine Möglichkeit erhöhte Sicherheit zu bieten, aber dafür fehlt Zeit und Geld
    - Habe ich als erfahrener Entwickler ohne speziell darüber nachzudenken Erfahrung was man tun kann um die Sicherheit zu erhöhen. Das sind meist so kleine Dinge die so gut wie keine Zeit kosten und halt einfach mit in die Entwicklung einfliessen

    Das betrifft ja aber nicht nur die Sicherheit, oft wäre halt noch das und jenes toll, aber dafür fehlt halt Geld und Budget. Und wenn nicht: umso schöner! Aber auch da ist irgendwann entweder das Budget oder das Knowhow "aufgebraucht"

  6. Re: Alles ziemlich fadenscheinig

    Autor: RandomCitizen 17.02.17 - 10:14

    MadMonkey schrieb:
    --------------------------------------------------------------------------------
    > Es ist halt immer auch eine Budget, bzw. YouGetWhatYouPayFor & KnowHow
    > Problematik. Z.B
    > - Sehe ich als Entwickler noch da und da eine Möglichkeit erhöhte
    > Sicherheit zu bieten, aber dafür fehlt Zeit und Geld
    > - Habe ich als erfahrener Entwickler ohne speziell darüber nachzudenken
    > Erfahrung was man tun kann um die Sicherheit zu erhöhen. Das sind meist so
    > kleine Dinge die so gut wie keine Zeit kosten und halt einfach mit in die
    > Entwicklung einfliessen
    >
    > Das betrifft ja aber nicht nur die Sicherheit, oft wäre halt noch das und
    > jenes toll, aber dafür fehlt halt Geld und Budget. Und wenn nicht: umso
    > schöner! Aber auch da ist irgendwann entweder das Budget oder das Knowhow
    > "aufgebraucht"

    Gut, für Browser und für Programme, die Skripte/Bytecode ausführen, kann ich verstehen, dass man sich gegen solche Cache-Timing Attacken oder ähnliches verteidigen können muss. Aber wenn es um normale Anwendungen (sagen wir z.B. ein Bildverarbeitungsprogramme) geht, verstehe ich nicht wieso man da Zeit investieren sollte. Weil, das einzige Programm, dass so einen Chache-Timing Angriff durchführen kann wäre ein anderes Programm. Das müsste aber bereits am Laufen sein und hätte dadurch kein Interesse daran mein Programm dazu zu bringen Code auszuführen, weil es bereits selber jeden Code ausführen kann, den es will.

    Klar, wenn es um andere Punkte der Sicherheit geht, die mein Programm betreffen, ist das eine andere Frage. Ganz konkret denke ich daran nochmal zu überprüfen, dass alle Daten die von außerhalb des Programms kommen (Netzwerk Daten oder geöffnete Dateien) zu keinem undefiniertem Verhalten führen, sei es durch Integer Overflows, oder index-arrays/längenangaben die den erwarteten Bereich verlassen.

    Bin ich damit schon SIcherheits-Bewusst genug, oder gibt es noch andere Sicherheits-Aspekte, auf die man achten sollte?

    Ich bin Student und wäre für ein Verweis auf Weiterführende Fachliteratur dankbar. Wenn ich nach Security suche finde ich halt hauptsächlich Netzwerk und Verschlüsselungssachen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Schwäbisch Hall Kreditservice GmbH, Schwäbisch Hall
  2. ENERCON GmbH, Aurich bei Emden, Bremen
  3. IT-POWER4You GmbH, Hamburg
  4. Römerberg-Klinik, Badenweiler

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-67%) 7,59€
  2. (u. a. FIFA 20 für 27,99€, Dragon Ball Z Kakarot für 46,89€, Rainbow Six: Siege Deluxe für 8...
  3. (-62%) 5,70€
  4. (-62%) 18,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Streaming: Zehn besondere Serien für die Zeit der Isolation
Streaming
Zehn besondere Serien für die Zeit der Isolation

Kein Kino, kein Fitnessstudio, kein Theater, keine Bars, kein gar nix. Das Coronavirus hat das Land (und die Welt) lahmgelegt, so dass viele nun zu Hause sitzen: Zeit für Serien-Streaming.
Eine Rezension von Peter Osteried

  1. Videostreaming Fox kauft Tubi für 440 Millionen US-Dollar
  2. Musikindustrie in Deutschland Mehr Umsatz dank Audiostreaming
  3. Besuch bei Justwatch Größte Streaming-Suchmaschine ohne echte Konkurrenz

Coronavirus: Spiele statt Schule
Coronavirus
Spiele statt Schule

Wer wegen des Coronavirus mit Kindern zu Hause ist, braucht einen spannenden Zeitvertreib. Unser Autor - selbst Vater - findet: Computerspiele können ein sinnvolles Angebot sein. Vorausgesetzt, man wählt die richtigen.
Von Rainer Sigl

  1. CCC "Contact Tracing als Risikotechnologie"
  2. Coronapandemie Robert Koch-Institut sammelt Gesundheitsdaten von Sportuhren
  3. Google Chrome rollt Regeln für Same-Site-Cookies vorerst zurück

CPU-Fertigung: Intel hat ein Netburst-Déjà-vu
CPU-Fertigung
Intel hat ein Netburst-Déjà-vu

Über Jahre hinweg Takt und Kerne ans Limit treiben - das wurde Intel einst schon beim Pentium 4 zum Verhängnis.
Eine Analyse von Marc Sauter

  1. Maxlinear Intel verkauft Konzernbereich
  2. Comet Lake H Intel geht den 5-GHz-Weg
  3. Security Das Intel-ME-Chaos kommt