Как там дела со Spectre и Meltdown в наши дни?

Слушай, хайп ЖЖ-шечки давным-давно сошёл, но она всё не умирает, и не умирает.

Так и тут - кто-то озабочен. Кто-то дописывает.

Были ли ужасающие случаи применения этих уязвимостей на практике, жертвы, разрушения

Очевидно, нет.

Ну, это как с коронавирусом - кто-то до сих пор от него прививается, кто-то нет. Бывают ли сейчас случаи заражения короной? Бывают, ещё как. И гриппом. И туберкулёзом.

Для процессоров выпущенных до публикации уязвимостей основная просадка производительности убирается только откатом микрокода на старый, параметры ядра это копейки. Например для одной модели процессора это микрокод из начала 2019г, где частичные митигаци уже есть но просадки производительности ещё нет.

lscpu тебе в помощь. Не только эта пара там.

Кто-то ещё озабочен этими уязвимостями?

Те кому важна «безопасность»/«производительность». Остальным пох.

Ну вот штеуд выпилил HT из последнего поколения десктопных процов. Как тебе такое? А так эти уязвимости никуда не делись. Для них придумали митигации и мы с этим всем живем

mitigations=off

работает только на 4-ом пне, вернее заметно только на 4-ом пне, на остальных компьютерах на производительности никак не сказывается.

Vulnerabilities:          
  Gather data sampling:   Not affected
  Itlb multihit:          Not affected
  L1tf:                   Not affected
  Mds:                    Not affected
  Meltdown:               Not affected
  Mmio stale data:        Not affected
  Reg file data sampling: Vulnerable: No microcode
  Retbleed:               Not affected
  Spec rstack overflow:   Not affected
  Spec store bypass:      Mitigation; Speculative Store Bypass disabled via prctl
  Spectre v1:             Mitigation; usercopy/swapgs barriers and __user pointer sanitization
  Spectre v2:             Vulnerable: eIBRS with unprivileged eBPF
  Srbds:                  Not affected
  Tsx async abort:        Not affected

В параметры ядра ничего не прописывал, с чем там ядро собирал не помню. 12400, производительности хватает.

Я вот чё думаю — Какая может быть уязвимость в этих случаях — единственное что приходит на ум — это браузер.
Потому что ты заходишь на сайт и там к тебе может прилететь на выполнение любой яваскрипт код и отослать полученные данные куда-то.
Других юзкейзов как-то в голову не приходит.

В любом случае, почему это митигейшены применяются на уровне системы?
Намного осмысленнее было бы применять их к определённому кругу программ/процессов и не замедлять остальную систему.

Как обычно: безопасники для ИБД поистерили, остальным похер.

Намного осмысленнее было бы применять их к определённому кругу программ/процессов и не замедлять остальную систему.

Селективная выборка отключения всяких кэшевых оптимизация скорее всего более инвазивна в реализации, более вероятность допустить ошибку и т.п. Возможно, разрабы понимали, что эти неуязвимости как неуловимые Джо, и решение решили сделать попроще.

Мне кааца, есть автоматические проверяторы что есть уязвимость или нет. Если проверятор говорит что есть, где это критично то там разумеется делают всё чтобы наконец уязвимость не срабатывала

Где-то есть лабораторные эксплоиты с JS, но в реальных применениях нужно,.чтобы очень много «звёзд сошлось». И если лично с тобой это не случится, для джампхоста в какое-то суперзащищенное место я бы не стал даже думать - врубил бы, даже если бы производительность просела бы на половину. Не каждый компуктер нужен, чтобы ФПС в играх максимизировать или исходники компилить.

И с хайпом про блокчейн, короновирус и проч. сравнивать просто неадекватно.

Где-то есть лабораторные эксплоиты с JS, но в реальных применениях нужно, чтобы очень много «звёзд сошлось».

Ну как-то более вероятным представляется эксплуатация уязвимости задницы к паяльнику. И обойдётся дешевле — нужен собственно только паяльник и оплата услуг Боцмана и Чайника, а не ажно цельный кулхацкер.

И с хайпом про блокчейн, короновирус и проч. сравнивать просто неадекватно.

Любые сравнения вовлекают феномены только частично. В данном случае аналогия вполне себе рабочая получалась — то из каждого утюга вещали, что-де «вот-вот, и всё будет» — а потом вообще никто не вспоминает больше, ни в историческом ключе, ни в практическом, ни в каком.

а потом вообще никто не вспоминает больше, ни в историческом ключе, ни в практическом, ни в каком.

Так потому что решение найдено. И на счёт любого упоминания, ты уверен? Все статьи просмотрел и там ноль ссылок на ранние публикации?

В данном случае аналогия вполне себе рабочая получалась — то из каждого утюга вещали, что-де «вот-вот, и всё будет» — а потом вообще никто не вспоминает

Аналогия нерабочая. Из каждого утюга вещают о всех громких событиях - это не критерий ни разу.

Аналогия нерабочая. Из каждого утюга вещают о всех громких событиях - это не критерий ни разу.

Месье изволит докапываться до индивидуальных буквов-съ? Хочу заострить внимание месье, что мой тезис раскрывается во всём предложении, а не заключён только в трёх словах из оного.

Я на амудё а вы страдайте, мазохисты

Да собственно ты всё правильно пересказал. Уязвимости пофиксили на стороне ядра. Те, у кого отвага граничит со слабоумией просто прописывают mitigations=off и радуются некоторому приросту производительности. Озабоченность больше не требуется.

AMD так-то под Spectre тоже подпадает.

как сошёл на нет весь хайп про тот же блокчейн

так сошел, что аж за одну виртуальную коллекционную монетку дают 100к убитых енотов.

или исходники компилить

вот как раз те машинки на которых прода собирается взломать вкуснее всего. Помнится как-то автора aimp так ломанули. Как итог с официального сайта вирусня разошлась, а кому-то обновой прилетела и сразу что характерно с правами админа. Уважаемый плеер же, я сам его юзал прежде чем на foobar2000 переполз в оффтопике.

вот как раз те машинки на которых прода собирается взломать вкуснее всего.

что значит «вот как раз»?

может прилететь на выполнение любой яваскрипт код и отослать полученные данные куда-то.

Причем здесь спектр-мельдоний? Жабаскрипт, это скриптовый язык выполняющийся внутри пространства браузера, сам он никуда никакие запросы делать не умеет, у него нет доступа ни к сетевому интерфейсу ни к файловой системе ни к памяти программ. Все это делает браузер и уж наверное в браузере позаботились о безопасности прежде чем разрешили запускать скрипты с сайтов.

А вот у нативных программ типа телеги есть доступ ко всему юзерлэнду и к сетевому стеку без ограничений и к файловой системе, открытого протокола нет, веб-интерфейс не сделать, исходников программы тоже нет, Кушай не обляпайся.

Означает что пустив злоумышленника на сборочную машину какого-то крупного проекта ты заимеешь кучу поломанных юзеров, т.к. твоя положительная репутация приведёт к тому, что они сами себе вирусню установят, ещё и права админа дадут ей сами. Короче это сродни взлому репы твоего линукс дистрибутива, а по каким-то параметрам даже хуже, т.к. у репы хоть эцп есть и централизованные юзеры быстрее узнают про проблему и после её пофиксят как-то, а тут можно узнать через год о том что сломали, когда новую версию софтины качать начнёшь. Т.е. последствия будут катастрофические.