Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Meltdown und Spectre: "Dann sind wir performancemäßig wieder am Ende der 90er"

Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

  1. Thema

Neues Thema Ansicht wechseln


  1. Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 19.01.18 - 16:35

    Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Falls nein, sehe ich keinen Grund warum jemand der nicht gerade ein Cloudrechenzentrum betreibt patchen sollte.
    Falls ja - bitte Beweis beifügen der sich nicht auf Spectre bezieht.
    Danke.



    1 mal bearbeitet, zuletzt am 19.01.18 16:38 durch narea.

  2. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: stiGGG 20.01.18 - 00:14

    Ja.

  3. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 20.01.18 - 04:30

    stiGGG schrieb:
    --------------------------------------------------------------------------------
    > Ja.


    > Falls ja - bitte Beweis beifügen der sich nicht auf Spectre bezieht.

  4. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: ThaKilla 20.01.18 - 07:13

    narea schrieb:
    --------------------------------------------------------------------------------
    > > Falls ja - bitte Beweis beifügen der sich nicht auf Spectre bezieht.

    Weiste was, da bin ich dabei.... falls NEIN bitte beweise beifügen.

    Bin viel zu faul mir die mühe zu machen selbst zu recherchieren... ne ;)

  5. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 20.01.18 - 12:33

    ThaKilla schrieb:
    --------------------------------------------------------------------------------
    > narea schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > > Falls ja - bitte Beweis beifügen der sich nicht auf Spectre bezieht.
    >
    > Weiste was, da bin ich dabei.... falls NEIN bitte beweise beifügen.

    Ja die Nichtexistenz zu beweisen wird sicher so trivial möglich sein wie der Existenzbeweis.

    Nungut ich kann warten, bisher sah ich noch keinen einzigen Beweis, dass Meltdown so ausnutzbar ist, also bleibe ich dabei, dass es für den Normalnutzer absolut irrelevant ist.

  6. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: ve2000 20.01.18 - 13:43

    narea schrieb:
    --------------------------------------------------------------------------------
    > also bleibe ich dabei, dass es für den
    > Normalnutzer absolut irrelevant ist.
    Natürlich ist es irrelevant.
    Aber Fakten bringen nun mal keine Klicks, Panikmache schon.
    Meltdown/Spectre sind zurzeit DER Glücksfall in der (IT)-Regenbogenpresse, das lassen DIE sich doch nicht nehmen, es bis zum erbrechen auszuschlachten

  7. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: Tuxgamer12 21.01.18 - 14:14

    narea schrieb:
    --------------------------------------------------------------------------------
    > Ja die Nichtexistenz zu beweisen wird sicher so trivial möglich sein wie
    > der Existenzbeweis.

    Es wäre wohl zumindest angebracht, eine Plausibilitätserklärung abzugeben, wieso deiner Meinung nach Meltdown nicht mit JS funktionieren kann.

    > Nungut ich kann warten, bisher sah ich noch keinen einzigen Beweis, dass
    > Meltdown so ausnutzbar ist,

    Ja, genau!
    Anstatt das Zeug einfach ein für alle mal zu fixen (was bei Meltdown ja bekanntlich funktioniert), will ich für jedes Angreiferszenario einen PoC - weil wenn ich keinen kenne, bin ich mir 100% sicher, dass jeder Häcker auch keinen schreiben kann.

    > also bleibe ich dabei, dass es für den Normalnutzer absolut irrelevant ist.

    Jaja - und Remote Code Exection-Lücken, wie sie immer mal wieder in Office, PDF oder Bild-Software vorkommen, ignorieren wir mal - völlig irrelevant...

  8. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 21.01.18 - 14:20

    Tuxgamer12 schrieb:
    --------------------------------------------------------------------------------
    > narea schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ja die Nichtexistenz zu beweisen wird sicher so trivial möglich sein wie
    > > der Existenzbeweis.
    >
    > Es wäre wohl zumindest angebracht, eine Plausibilitätserklärung abzugeben,
    > wieso deiner Meinung nach Meltdown nicht mit JS funktionieren kann.

    Weil es niemand - auch nicht das Paper erwähnt. Ganz im Gegensatz zu Spectre.

    > > Nungut ich kann warten, bisher sah ich noch keinen einzigen Beweis, dass
    > > Meltdown so ausnutzbar ist,
    >
    > Ja, genau!
    > Anstatt das Zeug einfach ein für alle mal zu fixen (was bei Meltdown ja
    > bekanntlich funktioniert), will ich für jedes Angreiferszenario einen PoC -
    > weil wenn ich keinen kenne, bin ich mir 100% sicher, dass jeder Häcker auch
    > keinen schreiben kann.

    Es gibt momentan keinen Grund für Privatnutzer ihren PC zu verlangsamen mit dem Meltdown Patch.

    > > also bleibe ich dabei, dass es für den Normalnutzer absolut irrelevant
    > ist.
    >
    > Jaja - und Remote Code Exection-Lücken, wie sie immer mal wieder in Office,
    > PDF oder Bild-Software vorkommen, ignorieren wir mal - völlig irrelevant...

    Lenk nicht ab, liefere Beweise, dass Meltdown durch JS im Browser remote ausnutzbar ist. Wenn du das nicht kannst bleibe ich bei obiger Aussage.

  9. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: Tuxgamer12 21.01.18 - 15:49

    narea schrieb:
    --------------------------------------------------------------------------------
    > Lenk nicht ab, liefere Beweise, dass Meltdown durch JS im Browser remote
    > ausnutzbar ist. Wenn du das nicht kannst bleibe ich bei obiger Aussage.

    Ach, da bin ich aber berühigt!!!

    narea aus dem Golem-Forum garantiert mir und jeden anderen Anwender, dass kein Angreifer eine zweite Code-Execution Lücke ausnutzt (und dann ziemlich einfach sämtliche meiner Passwörter etc. mitlesen könnte) - und ich mir nur über JS Gedanken machen muss.

    Wow, und ich habe mir schon Sorgen gemacht.

    > Weil es niemand - auch nicht das Paper erwähnt. Ganz im Gegensatz zu Spectre.

    Hardcore-Erklärung.

    Gut, vielleicht wurde das einfach nicht untersucht? Da Meltdown wohl einiges zuverlässiger zu exploiten ist als Spectre, wäre es wohl auch keine so gute Idee öffentlich Explotes zu posten...

    Was im Meltdown-Papier expliziet genannt wird ist, dass Virtualisierung (insbesondere Docker, LXC, and OpenVZ) rein gar nicht schützen.

    Aber die Javascript-Virtualisierung - bin ich mir GAAAANZ sicher, dass die 100% schützt...

    Eigentlich stellt sich für mich nur die Frage: Arbeitest du zufällig bei Intel und willst die Lücke deshalb herunterspielen oder bist du wirklich so Sicherheits-ignorant?

    Ne, Sorry.

    Ich habe keinen Grund anzunehmen, dass es nicht mit Javascript funktioniert (hätte ja auch im Meltdown-Papier erwähnt sein können?). Und bei allem sicherheitskritischen weißt du mir bitte schön nach, dass es unbedenklich ist - und nicht umgekerht.

    Das ist aber völlig egal.

    Denn wer Meltdown nicht patcht, dem ist einfach nicht mehr zu helfen - und das auch im Fall, wenn sich gängige Javascript-Sanboxen aus irgendwelchen "magischen" Gründen nicht exploiten lassen.

    Und das ist so offensichtlich, dass ich auch ganz ehrlich keinen Bock habe, weiter mit dir zu diskutieren - denn ganz ehrlich: Ich habe gepatcht, ist nicht mein Problem.

  10. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: narea 21.01.18 - 16:07

    Tuxgamer12 schrieb:
    --------------------------------------------------------------------------------

    > Gut, vielleicht wurde das einfach nicht untersucht? Da Meltdown wohl
    > einiges zuverlässiger zu exploiten ist als Spectre, wäre es wohl auch keine
    > so gute Idee öffentlich Explotes zu posten...

    Halte ich für nicht wahrscheinlich, dass da niemand auf die Idee gekommen ist mal zu schauen ob JS im Browser das ausnutzen kann, wenn man es speziell bei Spectre extra gemacht hat. Ist ja ein nicht ganz so abwegiges Szenario.

    > Was im Meltdown-Papier expliziet genannt wird ist, dass Virtualisierung
    > (insbesondere Docker, LXC, and OpenVZ) rein gar nicht schützen.
    >
    > Aber die Javascript-Virtualisierung - bin ich mir GAAAANZ sicher, dass die
    > 100% schützt...

    Es geht um was komplett anderes. Meltdown kann Prozessübergreifend auf den Speicher zugreifen, deshalb ist die Virtualisierung auch nicht hilfreich, da sie eben auch nur auf dem Speicher aufliegt.
    JS Sandbox hat damit erstmal gar nichts zu tun - es geht darum, ob die Befehle die man für Meltdown braucht (die man eben bei den ganzen PoC trivial mittels C ausführen kann) eben auch durch JS ausnutzbar sind. Und dafür gibt es bisher keinen einzigen Beweis. Und, siehe oben, man sollte meinen, das wäre eines der wichtigsten Punkte die man untersuchen sollte.

    > Eigentlich stellt sich für mich nur die Frage: Arbeitest du zufällig bei
    > Intel und willst die Lücke deshalb herunterspielen oder bist du wirklich so
    > Sicherheits-ignorant?

    Die Leistungseinbußen, insb. bei den "uralten" (aka fünf Jahre) Prozessoren, sind zT immens - siehe zB auch SSD Leistungen im heiseartikel.
    Durch einen Meltdownpatch gewinne ich schlicht keine Sicherheit (da ich eben erstmal selbst die Malware.exe lokal starten müsste), aber verliere Leistung. Kurzum, es ist nicht logisch zu patchen.

    > Ich habe keinen Grund anzunehmen, dass es nicht mit Javascript funktioniert

    Tja und ich habe keinen Grund anzunehmen, dass es mit Javascript funktioniert [bis zum Beweis des Gegenteils].
    Und glaube mir: Ich würde mich freuen, wenn man mir das Gegenteil beweisen würde.

    > Denn wer Meltdown nicht patcht, dem ist einfach nicht mehr zu helfen - und
    > das auch im Fall, wenn sich gängige Javascript-Sanboxen aus irgendwelchen
    > "magischen" Gründen nicht exploiten lassen.

    Siehe oben.

    > Und das ist so offensichtlich, dass ich auch ganz ehrlich keinen Bock habe,
    > weiter mit dir zu diskutieren - denn ganz ehrlich: Ich habe gepatcht, ist
    > nicht mein Problem.

    Du musst ja gar nicht mit mir diskutieren. Meine Frage des OP Posts steht weiterhin im Raum und bisher konnte sie noch niemand beantworten.

  11. Re: Einzig relevante Frage: Meltdown durch JS im Browser ausnutzbar ja/nein?

    Autor: Tuxgamer12 21.01.18 - 18:39

    Ich möchte mal hierauf verweisen:

    https://forum.golem.de/kommentare/security/meltdown-und-spectre-dann-sind-wir-performancemaessig-wieder-am-ende-der-90er/kein-entdecker-sondern-entwickler-von-angriffsvektoren/115115,5000523,5000523,read.html#msg-5000523

    Sind wir uns ja wohl alle einige, dass diese Sicherheitsforscher KEINE "Entwickler von Angriffsvektoren" sind.

    Spectre ist hier etwas anderes, weil Spectre KEIN 100% funtkiontsfähiger Softwarefix bekannt ist.

    Meltdown ist gefixt.

    Wieso zur Hölle sollte ein Sicherheitsforscher jetzt gute Zeit investieren, Angriffe mit Javascript zu entwickeln? Was wäre das für ein Erkentissgewinn?
    Wohlgemerkt: Erkenntnissgewinn, der NICHT auschließlich "den bösen" hilft Mist zu bauen mit den Nutzern, die so dumm waren noch nicht zu patchen.

    > Meine Frage des OP Posts steht weiterhin im Raum und bisher konnte sie noch niemand
    > beantworten.

    Ich bin kein Sicherheitsforscher und kann dir diese Frage auch nicht beantworten. Ich sage dir einzig, dass

    a) deine Frage irrelevant ist
    b) die vollgende Aussage absoluter Bullshit ist

    > Durch einen Meltdownpatch gewinne ich schlicht keine Sicherheit (da ich eben erstmal
    > selbst die Malware.exe lokal starten müsste)

    Wenn du es völlig OK findest, dass jede noch so kleine Software auf dem PC JEDE deiner Passwörter mitlesen kann - ich finde das nich OK. Es gibt Gründe, wieso wir dagegen Sicherheitsmechanismen haben - und das zum Spaß.

    Und nein, dass du grundsätzlich Malware.exe selber starten musst, ist eine ziemlich naive Annahme. Meltdown ist nun einmal nicht die einzige Sicherheitslücke auf dieser Welt.

Neues Thema Ansicht wechseln


Dieses Thema wurde geschlossen.

Stellenmarkt
  1. Syncwork AG, Dresden, Berlin, Wiesbaden
  2. Securiton GmbH IPS Intelligent Video Analytics, München
  3. Automotive Safety Technologies GmbH, Ingolstadt
  4. dSPACE GmbH, Paderborn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Highend-PC-Streaming: Man kann sogar die Grafikkarte deaktivieren
Highend-PC-Streaming
Man kann sogar die Grafikkarte deaktivieren

Geforce GTX 1080, 12 GByte RAM und ein Xeon-Prozessor: Ab 30 Euro im Monat bietet ein Startup einen vollwertigen Windows-10-Rechner im Stream. Der Zugriff auf Daten, Anwendungen und Games soll auch unterwegs mit dem Smartphone funktionieren.
Von Peter Steinlechner

  1. Golem.de-Livestream Halbgott oder Despot?
  2. Rundfunk Medienanstalten wollen Bild Livestreaming-Formate untersagen
  3. Illegale Kopien Deutsche Nutzer pfeifen weiter auf das Urheberrecht

Noctua NF-A12x25 im Test: Spaltlos lautlos
Noctua NF-A12x25 im Test
Spaltlos lautlos

Der NF-A12x25 ist ein 120-mm-Lüfter von Noctua, der zwischen Impeller und Rahmen gerade mal einen halben Millimeter Abstand hat. Er ist überraschend leise - und das, obwohl er gut kühlt.
Ein Test von Marc Sauter

  1. NF-A12x25 Noctua veröffentlicht fast spaltlosen 120-mm-Lüfter
  2. Lüfter Noctua kann auch in Schwarz
  3. NH-L9a-AM4 und NH-L12S Noctua bringt Mini-ITX-Kühler für Ryzen

Ryzen 5 2600X im Test: AMDs Desktop-Allrounder
Ryzen 5 2600X im Test
AMDs Desktop-Allrounder

Der Ryzen 5 2600X ist eine der besten sechskernigen CPUs am Markt. Für gut 200 Euro liefert er die gleiche Leistung wie der Core i5-8600K. Der AMD-Chip hat klare Vorteile bei Anwendungen, das Intel-Modell in Spielen.
Ein Test von Marc Sauter

  1. Golem.de-Livestream Wie gut ist AMDs Ryzen 2000?
  2. RAM-Overclocking getestet Auch Ryzen 2000 profitiert von schnellem Speicher
  3. Ryzen 2400GE/2200GE AMD veröffentlicht sparsame 35-Watt-APUs

  1. Elektroauto: Der Nissan Leaf wird zum Cabrio
    Elektroauto
    Der Nissan Leaf wird zum Cabrio

    Der neue Nissan Leaf ist erst seit wenigen Monaten auf dem Markt, und der japanische Hersteller hat schon eine neue Version des Elektroautos vorgestellt: das Leaf Open Car ohne Dach. Aber das wird wohl ein Einzelstück bleiben.

  2. Science Fiction: Amazon übernimmt The Expanse
    Science Fiction
    Amazon übernimmt The Expanse

    Der Konflikt zwischen Mars und Erde kann in die vierte Runde gehen: Amazon wird die Science-Fiction-Serie The Expanse weiterführen. Das hat Jeff Bezos auf einer Konferenz bekanntgegeben und dafür Jubel von Fans und Schauspielern bekommen.

  3. Zwangszustimmung: Erste Klage nach DSGVO gegen Google und Facebook
    Zwangszustimmung
    Erste Klage nach DSGVO gegen Google und Facebook

    Nur wer der Datenverarbeitung vollständig zustimmt, darf den Dienst auch weiter nutzen - so haben sich das die großen Internetunternehmen vorgestellt. Der österreichische Datenschutzaktivist Max Schrems sieht das anders. Die von ihm gegründete Organisation Noyb hat Beschwerde gegen Google sowie Facebook und dessen Dienste Instagram und Whatsapp nach der DSGVO eingereicht.


  1. 13:08

  2. 12:21

  3. 11:23

  4. 09:03

  5. 18:36

  6. 17:49

  7. 16:50

  8. 16:30