Voulez-vous la vitesse ou la sécurité comme prévu ? Les défenses du processeur Spectre peuvent paralyser les performances sous Linux lors des tests • The Register


Les mesures d'atténuation appliquées pour exorciser Spectre, la famille de vulnérabilités des processeurs de fuite de données, des ordinateurs entravent suffisamment les performances pour que la désactivation de la protection pour des raisons de vitesse puisse être préférable pour certains.

Divulgués en 2018 et affectant les conceptions d'Intel, Arm, AMD et d'autres à des degrés divers, ces défauts d'exécution spéculatifs englobent plusieurs variantes. Ils peuvent être potentiellement exploités par des logiciels malveillants via diverses techniques pour extraire des informations sensibles, telles que des clés cryptographiques et des jetons d'authentification, du système d'exploitation et de la mémoire des applications qui devraient être interdites.

Bien que de nombreuses recherches aient été consacrées aux failles de Spectre et au travail effectué pour empêcher leur exploitation, aucun mécréant n'abuse des faiblesses du monde réel pour voler des informations, à notre connaissance. C'est là que réside le bât blesse; est-ce qu'on garde les protections activées et prend tout impact sur les performances (cela dépend énormément du type de charge de travail en cours d'exécution) ou les désactive parce que le risque est faible ? Ou, d'un autre point de vue, faire primer la vitesse promise par les fabricants de puces sur la sécurité qui était censée être présente.

Robert O'Callahan, un ancien ingénieur distingué de Mozilla qui développe actuellement le débogueur Pernosco, travaillait récemment sur le débogueur open source rr (que Pernosco étend) et a découvert que les appels système fréquents sur Linux ralentissaient l'exécution du code dans l'espace utilisateur, où les applications s'exécutent.

En supposant que cela était au moins partiellement dû à l'impact de diverses atténuations de Spectre, il a désactivé les défenses et a refait son test du rr sources commande, qui sert à mettre en cache les résultats de nombreux access appels système vérifiant l'existence d'un répertoire. Les résultats n'étaient pas encourageants.

"Donc, ces atténuations de Spectre rendent l'espace utilisateur de pré-optimisation 2 fois plus lent (en raison du cache et des vidages TLB, je suppose) et l'ensemble de la charge de travail 1,6 fois plus lent!" a-t-il écrit dans un article de blog samedi. "Avant les atténuations de Spectre, ces appels système ne ralentissaient pratiquement pas l'exécution de l'espace utilisateur."

Les conséquences sur les performances des diverses atténuations logicielles et matérielles varient considérablement, selon ce que vous exécutez. Les chiffres cités vont de négligeables à environ 20 % en général, avec quelques valeurs aberrantes qui vont considérablement plus haut.

Les tests publiés par Phoronix montrent un ralentissement de 2% à 16% sur les puces Intel Rocket Lake – ses microprocesseurs Core de 11e génération – avec les atténuations activées. D'autres parlent de ralentissements de l'ordre de 10 à 30 %. AWS a noté : « Nous n'avons pas observé d'impact significatif sur les performances pour l'écrasante majorité des charges de travail EC2.

Ainsi, la découverte d'O'Callahan selon laquelle son code de débogage s'est exécuté 60 % plus lentement est remarquable même si elle n'est pas universellement applicable.

"Le ralentissement global n'a été que de 1,6x", a-t-il expliqué dans un e-mail à Le registre. "La partie espace utilisateur du travail a ralenti 2 fois, mais cela ne se produit que parce que nous effectuons des appels système fréquents, et ces appels système consomment la majorité du temps dans ce test. Je m'attends à ce que des résultats similaires se produisent pour d'autres charges de travail similaires appel système intensif."

Lorsqu'on lui a demandé s'il pensait que les chiffres couramment cités minimisaient les conséquences possibles des atténuations de Spectre et les défenses de son cousin Meltdown, O'Callahan a suggéré que les chiffres couramment cités devraient être considérés avec scepticisme.

"Je pense que les gens doivent savoir que pour les charges de travail à forte intensité d'appels système, un ralentissement de 1,5 fois ou plus est possible, au moins sur des processeurs plus anciens comme Skylake", a-t-il déclaré. "Dans mon cas, j'ai pu réécrire le code pour qu'il soit beaucoup moins gourmand en appels système, mais ce ne sera pas toujours possible."

Bien que cela représente la fin extrême des retards signalés, il y a eu d'autres rapports similaires de lenteur pour des tests spécifiques. En 2018, par exemple, des chercheurs du MIT ont découvert (PDF) que le noyau compatible GRSecurity (utilisant l'atténuation UDEREF plutôt que le KPTI standard) ralentissait de 90 % lors d'un test de disque local pour copier 10 Mo de données de /dev/zero vers un nouveau fichier avec une taille de bloc de 1 octet à l'aide de l'utilitaire dd. Il s'agit d'un exemple extrême pour illustrer ce point, notons-le.

Les résultats de ce type soulignent pourquoi certaines personnes préfèrent optimiser la vitesse au détriment de la sécurité en offrant des conseils sur la façon de désactiver les atténuations. Il existe même un site Web à cet effet – make-linux-fast-again.com – qui affiche simplement les paramètres de la ligne de commande pour se débarrasser de toute cette sécurité encombrante.

Cependant, O'Callahan conseille la prudence à ceux qui envisagent de supprimer les défenses Spectre et Meltdown.

« Si vous faites confiance à tout le code exécuté sur le système, vous pouvez désactiver ces atténuations en toute sécurité », a-t-il déclaré. "Si vous ne le faites pas (par exemple parce que vous utilisez un navigateur Web et que vous ne savez jamais ce que font les scripts publicitaires), vous ne devriez pas désactiver ces atténuations à mon humble avis." ®



Source link

Pourquoi créer une vitrine virtuels ?

On voit clairement qu’il est probable de se lancer rapidement sans argent et sans connaissance technique particulière. Je vous conseille de vous jeter rapidement en dropshipping et de absolument ne pas mettre trop d’argent sur votre site. Il vous faut spécialement avoir un budget marketing pour instituer venir internautes sur votre boutique : c’est le ligament de la guerre. Car tel que je l’ai dit, vous avez la possibilité avoir la plus belle boutique. Sans trafic, vous ne ferez à la saint-glinglin de chiffre d’affaires. Une fois que vous aurez testé, votre marché vous pourrez alors graisser la patte un stock.