Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/nuova-vulnerabilita-zombieload-scoperta-sui-chip-intel_82345.html

L'indagine relativa alle vulnerabilità dipendenti dalle tecniche di esecuzione speculativa è andata avanti dal momento in cui sono stati rivelati Meltdown e Spectre. Sono stati pubblicati nuovi dettagli sullo stato di sicurezza dei processori Intel

Click sul link per visualizzare la notizia.

Our attacks affect all modern Intel CPUs in servers, desktops and laptops. This includes the latest 9th-generation processors, despite their in-silicon mitigations for Meltdown. Ironically, 9th-generation CPUs are more vulnerable to some of our attacks compared to older generation hardware.

Stando ai ricercatori che hanno scoperto la falla sono vulnerabili anche le ultime architetture.

Stando ai ricercatori che hanno scoperto la falla sono vulnerabili anche le ultime architetture.

Avresti il link per favore? Ti ringrazio :)

Avresti il link per favore? Ti ringrazio :)

https://mdsattacks.com/

Avresti il link per favore? Ti ringrazio :)
Io ho letto (non ricordo più dove) che quelli vulnerabili sono le cpu dal 2011 in avanti, incluso anche il 9900K che non ha il fix in hardware perché facente parte del più "vecchio" step 12 (Intel64 Family 6 Model 158 Stepping 12), mentre ce l'hanno i proci di nona generazione con stepping 13, di più nin zo :)

edit: aspè, da rimarcare che ci sono dei 9900K anche con step 13

Non se ne può più.

3% di qua, 3% di la, alla fine cosa rimane?

Io ho letto (non ricordo più dove) che quelli vulnerabili sono le cpu dal 2011 in avanti, incluso anche il 9900K che non ha il fix in hardware perché facente parte del più "vecchio" step 12 (Intel64 Family 6 Model 158 Stepping 12), mentre ce l'hanno i proci di nona generazione con stepping 13, di più nin zo :)

edit: aspè, da rimarcare che ci sono dei 9900K anche con step 13

E' un macello, bisogna aspettare per avere le idee più chiare :(

https://mdsattacks.com/

Questa vulnerabilità interessa solo i processori Intel, più recenti compresi, ma AMD ed ARM sono esenti.

La patch di M$ e/o Intel, che fa perdere ottimisticamente il 3% di prestazioni per correzione microcode (e/o presumibilmente ben di più per update software), viene disinvoltamente applicata anche ai processori AMD, che non ne hanno bisogno, tanto per mantenere la par condicio.

Devono trovare un sistema per escludere determinate app da questi fix.
È realmente difficile bloccare ogni tipo di speculazione a browser e app importanti , ma lasciarle attive a programmi di rendering e giochi?



Questa vulnerabilità interessa solo i processori Intel, più recenti compresi, ma AMD ed ARM sono esenti.

La patch di M$ e/o Intel, che fa perdere ottimisticamente il 3% di prestazioni per correzione microcode (e/o presumibilmente ben di più per update software), viene disinvoltamente applicata anche ai processori AMD, che non ne hanno bisogno, tanto per mantenere la par condicio. se amd non fa quel tipo di indovina indovinello non credo blocchi nulla.

3% di qua, 3% di la, alla fine cosa rimane?

non si perde il 3%

Dall'articolo: per far funzionare questo attacco, alle vittime della dimostrazione è stato richiesto di eseguire ripetutamente il comando passwd, in modo da innescare un'alta probabilità che il contenuto del file si trovi in ​​uno dei buffer

praticamente devi stare li a digitare password 800 volte perchè il malware becchi il momento giusto della speculazione.

Ma al di là di tutto questo, ci sono casi conclamati e dimostrati in cui queste famigerate falle hanno permesso furti di dati, o siamo sempre nel campo delle ipotesi?

Dall'articolo: per far funzionare questo attacco, alle vittime della dimostrazione è stato richiesto di eseguire ripetutamente il comando passwd, in modo da innescare un'alta probabilità che il contenuto del file si trovi in ​​uno dei buffer

praticamente devi stare li a digitare password 800 volte perchè il malware becchi il momento giusto della speculazione.

Ma al di là di tutto questo, ci sono casi conclamati e dimostrati in cui queste famigerate falle hanno permesso furti di dati, o siamo sempre nel campo delle ipotesi?
No.
E' "SPECULATIVA" sia la funzione della cpu che tutta la notizia

https://www.techpowerup.com/255563/intel-tried-to-bribe-dutch-university-to-suppress-knowledge-of-mds-vulnerability

Cybersecurity researchers at the Vrije Universiteit Amsterdam, also known as VU Amsterdam, allege that Intel tried to bribe them to suppress knowledge of the latest processor security vulnerability RIDL (rouge in-flight data load), which the company made public on May 14. Dutch publication Nieuwe Rotterdamsche Courant reports that Intel offered to pay the researchers a USD $40,000 "reward" to allegedly get them to downplay the severity of the vulnerability, and backed their offer with an additional $80,000. The team politely refused both offers.

Intel's security vulnerability bounty program is shrouded in CYA agreements designed to minimize Intel's losses from the discovery of a new vulnerability. Under its terms, once a discoverer accepts the bounty reward, they enter into a NDA (non-disclosure agreement) with Intel, to not disclose their findings or communicate in the regard with any other person or entity than with certain authorized people at Intel. With public knowledge withheld, Intel can work on mitigation and patches against the vulnerability. Intel argues that information of vulnerabilities becoming public before it's had a chance to address them would give the bad guys time to design and spread malware that exploits the vulnerability. This is an argument the people at VU weren't willing to buy, and thus Intel is forced to disclose RIDL even as microcode updates, software updates, and patched hardware are only beginning to come out.

Intel sostiene che l'informazione delle vulnerabilità che diventano pubbliche prima di avere la possibilità di affrontarle darebbe ai malintenzionati il ​​tempo di progettare e diffondere il malware che sfrutta la vulnerabilità.

Credo non abbiano tutti i torti, come dire ad un incontro di pugilato "picchiami qui che così vado a tappeto all'istante", quando l'avversario ancora non ti conosce.

una volta c'erano i 90 (o 60 ?) giorni di ritardo nella pubblicazione proprio per dare tempo di creare la patch...

https://www.techpowerup.com/255563/intel-tried-to-bribe-dutch-university-to-suppress-knowledge-of-mds-vulnerability

Cybersecurity researchers at the Vrije Universiteit Amsterdam, also known as VU Amsterdam, allege that Intel tried to bribe them to suppress knowledge of the latest processor security vulnerability RIDL (rouge in-flight data load), which the company made public on May 14. Dutch publication Nieuwe Rotterdamsche Courant reports that Intel offered to pay the researchers a USD $40,000 "reward" to allegedly get them to downplay the severity of the vulnerability, and backed their offer with an additional $80,000. The team politely refused both offers.

Intel's security vulnerability bounty program is shrouded in CYA agreements designed to minimize Intel's losses from the discovery of a new vulnerability. Under its terms, once a discoverer accepts the bounty reward, they enter into a NDA (non-disclosure agreement) with Intel, to not disclose their findings or communicate in the regard with any other person or entity than with certain authorized people at Intel. With public knowledge withheld, Intel can work on mitigation and patches against the vulnerability. Intel argues that information of vulnerabilities becoming public before it's had a chance to address them would give the bad guys time to design and spread malware that exploits the vulnerability. This is an argument the people at VU weren't willing to buy, and thus Intel is forced to disclose RIDL even as microcode updates, software updates, and patched hardware are only beginning to come out.

I soliti metodi "onesti" di intel :mad:

Intel sostiene che l'informazione delle vulnerabilità che diventano pubbliche prima di avere la possibilità di affrontarle darebbe ai malintenzionati il ​​tempo di progettare e diffondere il malware che sfrutta la vulnerabilità.

Credo non abbiano tutti i torti, come dire ad un incontro di pugilato "picchiami qui che così vado a tappeto all'istante", quando l'avversario ancora non ti conosce.
This.
andrebbe spiegato a google :asd:
This.
una volta c'erano i 90 (o 60 ?) giorni di ritardo nella pubblicazione proprio per dare tempo di creare la patch...
This.
I soliti metodi "onesti" di intel :mad:
E qui, invece, c'è il solito che non ha capito niente della faccenda, e ne approfitta per infangare l'odiato nemico.

"Intel argues that information of vulnerabilities becoming public before it's had a chance to address them would give the bad guys time to design and spread malware that exploits the vulnerability."

E qui, invece, c'è il solito che non ha capito niente della faccenda, e ne approfitta per infangare l'odiato nemico.

"Intel argues that information of vulnerabilities becoming public before it's had a chance to address them would give the bad guys time to design and spread malware that exploits the vulnerability."

Qui chi non capisce sei tu caro mio, vediamo se con un disegnino ti è più chiaro:

Cybersecurity researchers at the Vrije Universiteit Amsterdam, also known as VU Amsterdam, allege that Intel tried to bribe them to suppress knowledge of the latest processor security vulnerability RIDL (rouge in-flight data load), which the company made public on May 14. Dutch publication Nieuwe Rotterdamsche Courant reports that Intel offered to pay the researchers a USD $40,000 "reward" to allegedly get them to downplay the severity of the vulnerability, and backed their offer with an additional $80,000. The team politely refused both offers.

Ma forse hai problemi con la traduzione dall'inglese :asd:

I ricercatori della Cybersecurity della Vrije Universiteit di Amsterdam, nota anche come VU Amsterdam, sostengono che Intel ha cercato di corromperli per sopprimere la conoscenza della più recente vulnerabilità della sicurezza del processore RIDL (carico di dati in volo rouge), che la società ha reso pubblico il 14 maggio. La pubblicazione Nieuwe Rotterdamsche Courant riferisce che Intel ha offerto di pagare ai ricercatori una "ricompensa" di 40.000 dollari per presumibilmente indurli a minimizzare la gravità della vulnerabilità, e ha sostenuto la loro offerta con altri $ 80.000. La squadra ha gentilmente rifiutato entrambe le offerte.

Se fosse vero sarebbe gravissimo. Del resto ricordo come intel volesse inizialmente impedire i benchmark per verificare l'impatto delle mitigazioni... ma ovviamente per te tutto ciò è cosa buona e giusta :doh:

Qui chi non capisce sei tu caro mio, vediamo se con un disegnino ti è più chiaro:

Cybersecurity researchers at the Vrije Universiteit Amsterdam, also known as VU Amsterdam, allege that Intel tried to bribe them to suppress knowledge of the latest processor security vulnerability RIDL (rouge in-flight data load), which the company made public on May 14. Dutch publication Nieuwe Rotterdamsche Courant reports that Intel offered to pay the researchers a USD $40,000 "reward" to allegedly get them to downplay the severity of the vulnerability, and backed their offer with an additional $80,000. The team politely refused both offers.

Ma forse hai problemi con la traduzione dall'inglese :asd:

I ricercatori della Cybersecurity della Vrije Universiteit di Amsterdam, nota anche come VU Amsterdam, sostengono che Intel ha cercato di corromperli per sopprimere la conoscenza della più recente vulnerabilità della sicurezza del processore RIDL (carico di dati in volo rouge), che la società ha reso pubblico il 14 maggio. La pubblicazione Nieuwe Rotterdamsche Courant riferisce che Intel ha offerto di pagare ai ricercatori una "ricompensa" di 40.000 dollari per presumibilmente indurli a minimizzare la gravità della vulnerabilità, e ha sostenuto la loro offerta con altri $ 80.000. La squadra ha gentilmente rifiutato entrambe le offerte.

Se fosse vero sarebbe gravissimo.
E' gravissimo che tale ricerca sia stata pubblicata senza nemmeno dare il tempo di preparare delle contromisure, come anche gli altri utenti hanno cercato (inutilmente) di far notare.

Intel ha cercato di posticiparla offrendo soldi, ma per prevenire problemi, come peraltro risulta a chiare lettere da quello che avevo riportato. :read:

E dunque tutto ciò per proteggere gli utenti.
Del resto ricordo come intel volesse inizialmente impedire i benchmark per verificare l'impatto delle mitigazioni...
E' vero, ha sbagliato, e l'ho pure detto pubblicamente all'epoca.
ma ovviamente per te tutto ciò è cosa buona e giusta :doh:
Un'altra delle tue pure menzogne. Vedi sopra. :rolleyes:

Dunque o non ricordi (e di problemi di memoria hai dimostrato di averne parecchi), o sei in perfetta malafede.

secondo me è vero perché per corromperli ci volevano almeno 8 mln di dollari...

E dunque tutto ciò per proteggere gli utenti.
Onestamente io a questo non ci credo manco morto, soprattutto per i precedenti "sporcaccioni" :rotfl: di Intel, incluso il più recente e già citato del voler inizialmente impedire i benchmark per verificare l'impatto delle mitigazioni.

Cerco di essere obiettivo, non sono contro Intel a prescindere e infatti l'anno scorso non mi sono preso un Ryzen ma bensì un 8500 perché ho sempre trovato la sua grafica integrata (non gioco ma mi serve l'apporto quicksync/hw per i flussi multimediali) e il suo ecosistema (usb native in primis) superiori alla concorrenza per le mie necessità. Ma questo non toglie il fatto che Intel non sia nuova a certe pratiche che, per quanto mi riguarda, ritengo non abbiano niente a che fare con la preoccupazione nei confronti degli utenti, balle bibliche (altro che Mosè).

E' gravissimo che tale ricerca sia stata pubblicata senza nemmeno dare il tempo di preparare delle contromisure, come anche gli altri utenti hanno cercato (inutilmente) di far notare.

Intel ha cercato di posticiparla offrendo soldi, ma per prevenire problemi, come peraltro risulta a chiare lettere da quello che avevo riportato. :read:

E dunque tutto ciò per proteggere gli utenti.

E' vero, ha sbagliato, e l'ho pure detto pubblicamente all'epoca.

Un'altra delle tue pure menzogne. Vedi sopra. :rolleyes:

Dunque o non ricordi (e di problemi di memoria hai dimostrato di averne parecchi), o sei in perfetta malafede.

E dimostri ancora una volta di più che o ci sei o ci fai, leggi dal loro paper https://mdsattacks.com/files/ridl.pdf:

DisclosureThe authors from VU Amsterdam (VUSec) submittedPoC exploits for the RIDL class of vulnerabilities to Intel on September 12, 2018. Intel immediately acknowledgedthe vulnerability and rewarded RIDL with the Intel BugBounty (Side Channel) Program.

Dal 12 settembre 2018 quando intel è stata avvisata sono passati 8 mesi per mitigare la vulnerabilità, sono forse pochi? Ma fammi il piacere va :doh:
E ti ripeto ancora: ma ci sei o ci fai? Rileggi bene qua: Intel ha offerto di pagare ai ricercatori una "ricompensa" di 40.000 dollari per presumibilmente indurli a minimizzare la gravità della vulnerabilità

Non hai proprio nessun pudore eh :asd:

Onestamente io a questo non ci credo manco morto,.

Beh, io non sarei così perentorio: proteggere gli utenti per Intel significa salvaguardare una grande quantità di aziende (non solo i nerd diciottenni in cerca di bachi) che con i loro processori ci lavorano e producono.Credo che un pò di interesse ce l'abbia affinchè non siano mitragliati da malware..

Beh, io non sarei così perentorio: proteggere gli utenti per Intel significa salvaguardare una grande quantità di aziende
Io sono d'accordo, la mia era un po' un'iperbole, ma capirai che dopo aver assistito a certi comportamenti di tale azienda, certe dichiarazioni alla "vi vogliamo bene, vi vogliamo proteggere, ci preoccupiamo per voi", ecc. mi suonano da cazzari.

L'articolo non è completo, a quanto pare i fix sono solo parziali perchè per essere efficaci al 100% dovrebbero disabilitare l'HyperTreading con notevoli perdite prestazionali.
Vedi qui:
https://www.bitsandchips.it/9-hardware/11678-microarchitectural-data-sampling-nuove-vulnerabilita-compiscono-le-cpu-intel

penso che anche il mercato azionario sia un 'motore' molto importante per l'azienda...
legittimamente eh

difficile cmq vedere la situazione solo in un senso. per me come spesso in questi casi, la verità sta nel mezzo. tenendo anche conto che anche lato leadership tanta tranquillità non pare esserci (stata?)

E dimostri ancora una volta di più che o ci sei o ci fai, leggi dal loro paper https://mdsattacks.com/files/ridl.pdf:

DisclosureThe authors from VU Amsterdam (VUSec) submittedPoC exploits for the RIDL class of vulnerabilities to Intel on September 12, 2018. Intel immediately acknowledgedthe vulnerability and rewarded RIDL with the Intel BugBounty (Side Channel) Program.

Dal 12 settembre 2018 quando intel è stata avvisata sono passati 8 mesi per mitigare la vulnerabilità, sono forse pochi? Ma fammi il piacere va :doh:
Hai mai sviluppato software? Non credo, da quello che dici.

Qui NON stiamo parlando di correggere un bug in un'applicazione, ma di:
- modificare il microcodice;
- aggiornare i firmware;
- modificare i kernel dei s.o.;
- verificare che le patch non creino problemi in sistemi con altri processori.

Tutta roba non semplice da realizzare, e che richiede parecchio tempo.

E, soprattutto, roba che non capisce il classico utente internettiano.
E ti ripeto ancora: ma ci sei o ci fai? Rileggi bene qua: Intel ha offerto di pagare ai ricercatori una "ricompensa" di 40.000 dollari per presumibilmente indurli a minimizzare la gravità della vulnerabilità

Non hai proprio nessun pudore eh :asd:
Per quanto sia sicuramente deprecabile, questo è successo perché, come già detto, i ricercatori si sono rifiutati di ritardare la pubblicazione, dando più tempo a Intel (ma anche ai produttori di s.o.) di prendere adeguate contromisure.

Questo è il vulnus da cui è scaturito tutto.

Infatti, dall'articolo che è stato riportato nell'altro thread (https://www.bankinfosecurity.com/intels-zombieload-fix-may-slow-processors-by-19-percent-a-12484):
""To get all available protections, firmware (microcode) and software updates are required," Microsoft says. "This may include microcode from device OEMs. In some cases, installing these updates will have a performance impact. We have also acted to secure our cloud services."

So far, however, patches for some versions of Windows 10, Windows Server and Windows Server 2019 have yet to ship.

Amazon and Google say they've already applied patches in their cloud environments, while Apple included fixes as part of recent Mojave (10.14) and Safari updates and Red Hat and VMware pushed updates.

Google says it has opted against trying to mitigate MDS vulnerabilities in Chrome and advises users to use OS-level mitigations."
Quindi, com'è possibile vedere, non si tratta del classico bug da fixare. Tutt'altro. :read:
Onestamente io a questo non ci credo manco morto, soprattutto per i precedenti "sporcaccioni" :rotfl: di Intel, incluso il più recente e già citato del voler inizialmente impedire i benchmark per verificare l'impatto delle mitigazioni.
Stai mischiando le due cose.

Qui è in ballo la SICUREZZA degli utenti.

Per quanto, leggendo i dati forniti dai paper, è il leak delle informazioni sia alquanto lento (e considerato che il sistema sta facendo soltanto quello).
Cerco di essere obiettivo, non sono contro Intel a prescindere e infatti l'anno scorso non mi sono preso un Ryzen ma bensì un 8500 perché ho sempre trovato la sua grafica integrata (non gioco ma mi serve l'apporto quicksync/hw per i flussi multimediali) e il suo ecosistema (usb native in primis) superiori alla concorrenza per le mie necessità. Ma questo non toglie il fatto che Intel non sia nuova a certe pratiche che, per quanto mi riguarda, ritengo non abbiano niente a che fare con la preoccupazione nei confronti degli utenti, balle bibliche (altro che Mosè).
La preoccupazione è concreta, altrimenti Intel non avrebbe nemmeno messo in piedi un team che si occupa esclusivamente di problematiche di sicurezza (mentre avrebbe potuto benissimo aspettare che qualcun altro trovasse le vulnerabilità, e poi ci lavorasse).

Infatti, dal link che tu stesso hai riportato nell'altro thread (e riportato qui sopra):
"Intel told Wired that its own researchers discovered the MDS vulnerabilities last year."
Quindi ne era a conoscenza e ci stava lavorando.

Poi, visto che in parecchie occasioni hai spiattellato che ti interessi (non so se sia il tuo lavoro) di problematiche di sicurezza, dovresti ben sapere quali rischino comportino tipologie di vulnerabilità come queste, e quanto tempo richiedano per poter essere sistemate.
Beh, io non sarei così perentorio: proteggere gli utenti per Intel significa salvaguardare una grande quantità di aziende (non solo i nerd diciottenni in cerca di bachi) che con i loro processori ci lavorano e producono.Credo che un pò di interesse ce l'abbia affinchè non siano mitragliati da malware..
Esattamente.

Articolo:
MDS / Zombieload Mitigations Come At A Real Cost, Even If Keeping Hyper Threading On

Link:
https://www.phoronix.com/scan.php?page=news_item&px=MDS-Zombieload-Initial-Impact

Hai mai sviluppato software? Non credo, da quello che dici.

Qui NON stiamo parlando di correggere un bug in un'applicazione, ma di:
- modificare il microcodice;
- aggiornare i firmware;
- modificare i kernel dei s.o.;
- verificare che le patch non creino problemi in sistemi con altri processori.

Tutta roba non semplice da realizzare, e che richiede parecchio tempo.

E, soprattutto, roba che non capisce il classico utente internettiano.

Per quanto sia sicuramente deprecabile, questo è successo perché, come già detto, i ricercatori si sono rifiutati di ritardare la pubblicazione, dando più tempo a Intel (ma anche ai produttori di s.o.) di prendere adeguate contromisure.

Questo è il vulnus da cui è scaturito tutto.

Infatti, dall'articolo che è stato riportato nell'altro thread (https://www.bankinfosecurity.com/intels-zombieload-fix-may-slow-processors-by-19-percent-a-12484):
""To get all available protections, firmware (microcode) and software updates are required," Microsoft says. "This may include microcode from device OEMs. In some cases, installing these updates will have a performance impact. We have also acted to secure our cloud services."

So far, however, patches for some versions of Windows 10, Windows Server and Windows Server 2019 have yet to ship.

Amazon and Google say they've already applied patches in their cloud environments, while Apple included fixes as part of recent Mojave (10.14) and Safari updates and Red Hat and VMware pushed updates.

Google says it has opted against trying to mitigate MDS vulnerabilities in Chrome and advises users to use OS-level mitigations."
Quindi, com'è possibile vedere, non si tratta del classico bug da fixare. Tutt'altro. :read:


Solite tue falsità come negli altri thread dove provi sempre a fare il gioco delle 3 carte. Spectre è stato scoperto a giugno 2017 e reso pubblico il 4 gennaio 2018 ovvero dopo 6 mesi https://www.cyberfarm.it/index.php/articoli/item/26-meltdown-e-spectre-cosa-sono-e-come-proteggere-i-vostri-dati-da-queste-nuove-minacce-informatiche . Per queste nuove vulnerabilità il lasso di tempo è stato di ben 8 mesi quindi hai scritto solo la solita valanga di inutili falsità.

La preoccupazione è concreta, altrimenti Intel non avrebbe nemmeno messo in piedi un team che si occupa esclusivamente di problematiche di sicurezza
Non ho mai messo in dubbio che i pericoli non fossero concreti, anzi.

Quello a cui non credo è la buona fede/preoccupazione genuina nei confronti degli utenti, proprio per i precedenti di Intel stessa, precedenti (lasciamo perdere la storia remota della vecchia causa) che, almeno per il sottoscritto, evidenziano quanto tale azienda sia poco incline ad una certa trasparenza nei confronti dell'utente finale: per me è semplicemente di una gravità enorme che inizialmente abbia tentato (se non ci fosse stata un'alzata di scudi da parte della comunità non credo si sarebbe fermata) di impedire benchmark per verificare l'impatto delle mitigazioni per i propri proci, segnale che l'utente deve solo comprare e guai a far sapere cose negative.

Riassumendo, grazie ar cazzo che si sta dando da fare per correre ai ripari in tutti i modi possibili, lo fa per gli enormi danni che eventualmente i suoi proci potrebbero provocare, le varie possibili cause conseguenti (visto che in USA le class-action non sono barzellette), l'enorme pubblicità negativa and so on, soprattutto in un periodo dove la concorrenza ha alzato per bene la testa.
Ma tutto questo è (quasi) ovvio, si tratta pur sempre di una realtà commerciale, però certi pensieri/iniziative non dovrebbe nemmeno farseli passare per la testa.

Lo so che non sei d'accordo, ma spero di aver chiarito che la mia critica non verte certamente sulla negazione di certi rischi/minacce scoperti.

Quello a cui non credo è la buona fede/preoccupazione genuina nei confronti degli utenti, proprio per i precedenti di Intel stessa, precedenti (lasciamo perdere la storia remota della vecchia causa) che, almeno per il sottoscritto, evidenziano quanto tale azienda sia poco incline ad una certa trasparenza nei confronti dell'utente finale: per me è semplicemente di una gravità enorme che inizialmente abbia tentato (se non ci fosse stata un'alzata di scudi da parte della comunità non credo si sarebbe fermata) di impedire benchmark per verificare l'impatto delle mitigazioni per i propri proci, segnale che l'utente deve solo comprare e guai a far sapere cose negative.

Riassumendo, grazie ar cazzo che si sta dando da fare per correre ai ripari in tutti i modi possibili, lo fa per gli enormi danni che eventualmente i suoi proci potrebbero provocare, le varie possibili cause conseguenti (visto che in USA le class-action non sono barzellette), l'enorme pubblicità negativa and so on, soprattutto in un periodo dove la concorrenza ha alzato per bene la testa.
Ma tutto questo è (quasi) ovvio, si tratta pur sempre di una realtà commerciale, però certi pensieri/iniziative non dovrebbe nemmeno farseli passare per la testa.



Concordo con ogni singola parola che hai scritto :)

ma ancora date corda a quel megalomane ? :asd:

gran cervello e competenza in materia, per caritá, ma non mi stupirei se avesse tatuato in fronte il logo Intel :asd: é solo tempo perso

ma ancora date corda a quel megalomane ? :asd:

gran cervello e competenza in materia, per caritá, ma non mi stupirei se avesse tatuato in fronte il logo Intel :asd: é solo tempo perso

:asd: Hai ragione :asd: ma personalmente non sopporto alcune enormi panzane pro intel che spara anche perchè chi non ha i mezzi per smontarle potrbbe finire col credergli :asd:
Comunque lo sai che adesso solo per le due righe che hai scritto rischi di finire sotto la sua enorme potenza di fuoco di insulti? :asd: Me lo vedo già, magari alle sei del mattino, mentre oltre ai miei quota pure il tuo messaggio rispondendoti con parole di fuoco :asd:

:asd: Hai ragione :asd: ma personalmente non sopporto alcune enormi panzane pro intel che spara anche perchè chi non ha i mezzi per smontarle potrbbe finire col credergli :asd:
Comunque lo sai che adesso solo per le due righe che hai scritto rischi di finire sotto la sua enorme potenza di fuoco di insulti? :asd: Me lo vedo già, magari alle sei del mattino, mentre oltre ai miei quota pure il tuo messaggio rispondendoti con parole di fuoco :asd:

probabile, ma ce l'ho in ignore da una vita, la questione non mi tange :stordita:

probabile, ma ce l'ho in ignore da una vita, la questione non mi tange :stordita:

:asd: hai fatto bene :asd:

Solite tue falsità come negli altri thread dove provi sempre a fare il gioco delle 3 carte. Spectre è stato scoperto a giugno 2017 e reso pubblico il 4 gennaio 2018 ovvero dopo 6 mesi https://www.cyberfarm.it/index.php/articoli/item/26-meltdown-e-spectre-cosa-sono-e-come-proteggere-i-vostri-dati-da-queste-nuove-minacce-informatiche . Per queste nuove vulnerabilità il lasso di tempo è stato di ben 8 mesi quindi hai scritto solo la solita valanga di inutili falsità.
E niente, se non dimostri ancora una volta che la tua memoria non funzioni proprio, non sei contento.

Il motivo per cui Meltdown (e successivamente Spectre. Tanto la frittata ormai era fatta!) fu rivelato PRIMA del previsto è che un ingegnere AMD scrisse una mail nella mailing list di Linux, che portò a rivelare che ci fosse questo genere di problematiche. Tanto AMD non ne era affetta, mentre ovviamente si capì che lo era Intel.

E altrettanto ovviamente è una notizia passata anche qui su HWU, e pure nel thread in cui scrivi spesso.

Ma tanto con te è inutile: non ricordi proprio NULLA, dopo che passa un tempo di tempo. Sei un caso disperato...

Ciò precisato, le vulnerabilità NON sono tutte uguali, e bisogna vedere quanto tempo sia necessario per sistemarle, testarle, ecc.
Non ho mai messo in dubbio che i pericoli non fossero concreti, anzi.

Quello a cui non credo è la buona fede/preoccupazione genuina nei confronti degli utenti, proprio per i precedenti di Intel stessa, precedenti (lasciamo perdere la storia remota della vecchia causa) che, almeno per il sottoscritto, evidenziano quanto tale azienda sia poco incline ad una certa trasparenza nei confronti dell'utente finale: per me è semplicemente di una gravità enorme che inizialmente abbia tentato (se non ci fosse stata un'alzata di scudi da parte della comunità non credo si sarebbe fermata) di impedire benchmark per verificare l'impatto delle mitigazioni per i propri proci, segnale che l'utente deve solo comprare e guai a far sapere cose negative.
Sono assolutamente d'accordo su questo episodio. Che poi è veramente ridicolo come tentativo: nell'epoca di internet è praticamente impossibile cercare di nascondere una cosa come questa. E' stata una colossale sciocchezza.
Riassumendo, grazie ar cazzo che si sta dando da fare per correre ai ripari in tutti i modi possibili, lo fa per gli enormi danni che eventualmente i suoi proci potrebbero provocare, le varie possibili cause conseguenti (visto che in USA le class-action non sono barzellette),
Su questo non sono d'accordo, perché non parliamo di bug.

Come già ampiamente discusso quando sono venuti fuori Meltdown e Spectre, i processori (e mi riferisco a tutti: quindi non solo a quelli di Intel) funzionano come da specifica.

Poi che debbano essere risolte credo che sia chiaro a tutti e pure Intel & co. ne sono pienamente consapevoli, perché la sicurezza è importante a prescindere che i propri processori funzionino come da specifiche.
l'enorme pubblicità negativa and so on, soprattutto in un periodo dove la concorrenza ha alzato per bene la testa.
Ma tutto questo è (quasi) ovvio, si tratta pur sempre di una realtà commerciale, però certi pensieri/iniziative non dovrebbe nemmeno farseli passare per la testa.
Assolutamente d'accordo.
Lo so che non sei d'accordo, ma spero di aver chiarito che la mia critica non verte certamente sulla negazione di certi rischi/minacce scoperti.
Chiaro, e sono quasi interamente d'accordo, a parte il caso di cui sopra sulle specifiche.
ma ancora date corda a quel megalomane ? :asd:

gran cervello e competenza in materia, per caritá, ma non mi stupirei se avesse tatuato in fronte il logo Intel :asd: é solo tempo perso
La classica nonché comune fallacia logica dell'attacco ad honinem.

Quando non si hanno argomenti per sostenere una discussione...
:asd: Hai ragione :asd: ma personalmente non sopporto alcune enormi panzane pro intel che spara anche perchè chi non ha i mezzi per smontarle potrbbe finire col credergli :asd:
E tu non ne hai di sicuro, come hai ampiamente dimostrato.
Comunque lo sai che adesso solo per le due righe che hai scritto rischi di finire sotto la sua enorme potenza di fuoco di insulti? :asd: Me lo vedo già, magari alle sei del mattino, mentre oltre ai miei quota pure il tuo messaggio rispondendoti con parole di fuoco :asd:
Dalle mie parti si chiama avere il carbone bagnato (altri direbbero avere la coda di paglia).

Gente disperata, se si arriva a mettere preventivamente le mani avanti dopo aver consapevolmente lanciato la pietra.
:asd: hai fatto bene :asd:
Logica elementare alla mano, se ha fatto bene allora perché non lo fai anche tu?

Meglio i processori AMD :)

Meglio i processori AMD :)
De gustibus. Io preferisco questa:
https://c7.uihere.com/files/123/177/238/scarlett-johansson-black-widow-marvel-avengers-assemble-iron-man-marvel-cinematic-universe-scarlett-johansson-thumb.jpg

E niente, se non dimostri ancora una volta che la tua memoria non funzioni proprio, non sei contento.

Il motivo per cui Meltdown (e successivamente Spectre. Tanto la frittata ormai era fatta!) fu rivelato PRIMA del previsto è che un ingegnere AMD scrisse una mail nella mailing list di Linux, che portò a rivelare che ci fosse questo genere di problematiche. Tanto AMD non ne era affetta, mentre ovviamente si capì che lo era Intel.

E altrettanto ovviamente è una notizia passata anche qui su HWU, e pure nel thread in cui scrivi spesso.

Ma tanto con te è inutile: non ricordi proprio NULLA, dopo che passa un tempo di tempo. Sei un caso disperato...

Ciò precisato, le vulnerabilità NON sono tutte uguali, e bisogna vedere quanto tempo sia necessario per sistemarle, testarle, ecc.


Ma proprio non hai un briciolo di vergogna eh? Non dici di quanto sia stata anticipata la notizia eh?
L'onesta intellettuale tu non sai nemmeno dove stia di casa, spectre e meltdown sono stati rivelati con 6 giorni di anticipo su 6 mesi ovvero il 3 gennaio 2018 invece che il 9 gennaio 2018 :asd: :asd: :asd: quindi per le nuove vulnerabilità si parla di un tempo più lungo comunque sempre di circa 2 mesi.
Meltdown è stato scoperto in modo indipendente dai ricercatori di Project Zero di Google, Cyberus Technology, e Università tecnica di Graz[5] ed è stata resa pubblica congiuntamente a Spectre il 3 gennaio 2018, diversi giorni in anticipo rispetto alla data prevista del 9 gennaio 2018, a causa di notizie premature e speculazione diffusa fontehttps://it.wikipedia.org/wiki/Meltdown_(vulnerabilit%C3%A0_di_sicurezza)
Complimenti perchè anche questa mattina hai fatto il cioccolato fresco :asd:


Quando non si hanno argomenti per sostenere una discussione...

E tu non ne hai di sicuro, come hai ampiamente dimostrato.

Dalle mie parti si chiama avere il carbone bagnato (altri direbbero avere la coda di paglia).

Gente disperata, se si arriva a mettere preventivamente le mani avanti dopo aver consapevolmente lanciato la pietra.

Logica elementare alla mano, se ha fatto bene allora perché non lo fai anche tu?

Vabè questo è il massimo adesso intervieni pure in uno scambio di idee con un altro utente e mi chiedi perchè non ti ignoro, cosa che dimostra che non leggi e spari a caso: ho scritto più volte che è per un mio limite, non riesco a lasciar perdere chi scrive panzane enormi come le tue :asd: quando invece ai troll provocatori come te non bisognerebbe dare corda :asd:

Ma proprio non hai un briciolo di vergogna eh? Non dici di quanto sia stata anticipata la notizia eh?
L'onesta intellettuale tu non sai nemmeno dove stia di casa, spectre e meltdown sono stati rivelati con 6 giorni di anticipo su 6 mesi ovvero il 3 gennaio 2018 invece che il 9 gennaio 2018 :asd: :asd: :asd: quindi per le nuove vulnerabilità si parla di un tempo più lungo comunque sempre di circa 2 mesi.
Meltdown è stato scoperto in modo indipendente dai ricercatori di Project Zero di Google, Cyberus Technology, e Università tecnica di Graz[5] ed è stata resa pubblica congiuntamente a Spectre il 3 gennaio 2018, diversi giorni in anticipo rispetto alla data prevista del 9 gennaio 2018, a causa di notizie premature e speculazione diffusa fontehttps://it.wikipedia.org/wiki/Meltdown_(vulnerabilit%C3%A0_di_sicurezza)
Complimenti perchè anche questa mattina hai fatto il cioccolato fresco :asd:

E niente, non ce la fai a parlare di cose che non conosci.

Ecco la prima e-mail (https://lkml.org/lkml/2017/12/4/709):
"AMD confirmed that there is no issue with that. It would be nice to get confirmation from Intel as well."
Data: 4 Dicembre 2017.

Ed ecco la seconda (https://lkml.org/lkml/2017/12/27/2):
"AMD processors are not subject to the types of attacks that the kernel
page table isolation feature protects against."
Data: 26 Dicembre 2017.

E a questo punto, vista la prossima scadenza prossima, i ricercatori decidono di anticipare la pubblicazione dei dettagli, che avverrà la settimana dopo, il 3 Gennaio 2018. :read:
Vabè questo è il massimo adesso intervieni pure in uno scambio di idee con un altro utente e mi chiedi perchè non ti ignoro, cosa che dimostra che non leggi e spari a caso: ho scritto più volte che è per un mio limite, non riesco a lasciar perdere chi scrive panzane enormi come le tue :asd:
Prima dovresti capire quello che scrivo, e questo non è affatto scontato.
quando invece ai troll provocatori come te non bisognerebbe dare corda :asd:
Quindi deciditi: o ha fatto bene o ha fatto male.

Tertium non datur. :read:

E niente, non ce la fai a parlare di cose che non conosci.

Ecco la prima e-mail (https://lkml.org/lkml/2017/12/4/709):
"AMD confirmed that there is no issue with that. It would be nice to get confirmation from Intel as well."
Data: 4 Dicembre 2017.

Ed ecco la seconda (https://lkml.org/lkml/2017/12/27/2):
"AMD processors are not subject to the types of attacks that the kernel
page table isolation feature protects against."
Data: 26 Dicembre 2017.

E a questo punto, vista la prossima scadenza prossima, i ricercatori decidono di anticipare la pubblicazione dei dettagli, che avverrà la settimana dopo, il 3 Gennaio 2018. :read:

Prima dovresti capire quello che scrivo, e questo non è affatto scontato.

Quindi deciditi: o ha fatto bene o ha fatto male.

Tertium non datur. :read:

Ma cosa c'entra quello che hai scritto con la questione delle tempistiche? Non sai più dove attaccarti? Per spectre e meltdown, contrariamente alla cortina di fumo dietro alla quale cerchi di continuo di nasconderti, era stato comunque concesso un periodo di riservatezza di 6 mesi, indipendentemente dalle anticipazioni che sono state tra l'altro solo di qualche giorno. Per le nuove vulnerablità sono stati concessi 8 mesi quindi ben 2 mesi in più quindi il problema del poco tempo concesso da te sollevato non sussiste e, se si confermasse vera la notizia, le mazzette offerte sono ancora più vergognose :asd: Oggi doppia produzione di cioccolata, eh? Abbiamo tempo da buttare via? :asd:

Ma cosa c'entra quello che hai scritto con la questione delle tempistiche? Non sai più dove attaccarti? Per spectre e meltdown, contrariamente alla cortina di fumo dietro alla quale cerchi di continuo di nasconderti, era stato comunque concesso un periodo di riservatezza di 6 mesi, indipendentemente dalle anticipazioni che sono state tra l'altro solo di qualche giorno.
Al solito, non leggi. O non vuoi farlo.

Le prime informazioni PUBBLICHE hanno data 4 Dicembre 2017.
Per le nuove vulnerablità sono stati concessi 8 mesi quindi ben 2 mesi in più quindi il problema del poco tempo concesso da te sollevato non sussiste e,
Ho ANCHE (lo evidenzio) specificato che le vulnerabilità non sono tutte uguali.

Ma anche questo l'hai "dimenticato".
se si confermasse vera la notizia, le mazzette offerte sono ancora più vergognose :asd:
Come già detto, SE fosse confermata sarebbe un'altra stupidaggine da parte di Intel, che fa il paio con quella dei benchmark.
Oggi doppia produzione di cioccolata, eh?
Vedi sopra: parla il produttore monopolista del mercato delle figure da cioccolataio.
Abbiamo tempo da buttare via? :asd:
E' il fine settimana e ho più tempo, e visto che continui a rispondermi, continuerò a farlo anch'io, come già detto. E fattene una ragione.

Al solito, non leggi. O non vuoi farlo.

Le prime informazioni PUBBLICHE hanno data 4 Dicembre 2017.

Ho ANCHE (lo evidenzio) specificato che le vulnerabilità non sono tutte uguali.

Ma anche questo l'hai "dimenticato".

Come già detto, SE fosse confermata sarebbe un'altra stupidaggine da parte di Intel, che fa il paio con quella dei benchmark.

Vedi sopra: parla il produttore monopolista del mercato delle figure da cioccolataio.

E' il fine settimana e ho più tempo, e visto che continui a rispondermi, continuerò a farlo anch'io, come già detto. E fattene una ragione.

Il marmo a te fa un baffo :asd: Il punto è che comunque erano stati concessi sei mesi indipendentemente dai leak di notizie. Nel nuovo caso si parla di 8 mesi, il resto è solo fuffa perchè hai finito gli argomenti. Un tentativo di corruzione poi è ben di più di una stupidaggine, la corruzione è un reato :asd:
E vai di terza sfornata di cioccolata fresca :asd:

E aggiungo anche che essere teneri con un tentativo di corruzione vuol dire essere moralmente complici di un comportamento che quando meno è moralmente criminale... complimenti :doh:

Ho ANCHE (lo evidenzio) specificato che le vulnerabilità non sono tutte uguali.

Il tempo minimo per le pubblicazioni però è sempre di 6 mesi, quindi fa poca differenza il tipo di vulnerabilità, ne sono passati 8, se la rivista voleva divulgare la cosa era liberissima di farlo...a me sembra solo che l'offerta di denaro da parte di intel li abbia "offesi", o perchè l'hanno reputata troppo esigua, o proprio per una questione di principio.

Il marmo a te fa un baffo :asd: Il punto è che comunque erano stati concessi sei mesi indipendentemente dai leak di notizie.
E niente, non capisci nulla anche in ambito di sicurezza, sebbene ammorbi l'altro thread che parla di queste vulnerabilità.

I malintenzionati monitorano costantemente posti come la mailing list di Linux, andando a caccia di indizi per poter sfruttare eventuali falle zero-day.

Pubblicando le prime notizie il 4 Dicembre, con tanto di conferma che AMD non avesse problemi (il che lascia ovviamente pensare che Intel ne avesse, invece), scatta un campanello d'allarme: c'è qualcosa in ballo. E dunque possono darsi da fare, analizzando patch et similia, per cercare di capire cosa si sta cercando di fixare, per poi tenare di frutta l'attuale falla.

Queste cose "da manuali" per chi ha intenzione di sviluppare malware et similia. Tecniche ben note in ambito di sicurezza, che chiunque ne mastichi un po' può confermare.
Nel nuovo caso si parla di 8 mesi,
Che NON vuol dire che siano sufficienti, di per sé.
il resto è solo fuffa perchè hai finito gli argomenti.
Detto da te fa soltanto ridere.
Un tentativo di corruzione poi è ben di più di una stupidaggine, la corruzione è un reato :asd:
E vai di terza sfornata di cioccolata fresca :asd:
E niente, se non ti rendi continuamente ridicolo non sei contento.

Il reato di corruzione è previsto esclusivamente per i PUBBLICI UFFICIALI.

E ovviamente NON è questo il caso.

Praticamente di qualunque cosa si parli, dimostri una colossale ignoranza in materia...
E aggiungo anche che essere teneri con un tentativo di corruzione vuol dire essere moralmente complici di un comportamento che quando meno è moralmente criminale... complimenti :doh:
E qui c'è un circolo logico che soltanto tu riesci a mettere in piedi sulla base del nulla.

Prima di tutto non c'è un reato di corruzione (vedi sopra).

Secondo, non è stato nemmeno dimostrato questo tentantivo.

Terzo e posto che il secondo sia accertato, mi faresti vedere chi è abbia detto di essere d'accordo con Intel?

Le tue sono soltanto BUGIE e MISTIFICAZIONI! Oltre che completa carenza di logica (nonché conoscenza della legislazione).
Il tempo minimo per le pubblicazioni però è sempre di 6 mesi,
Minimo, appunto.
quindi fa poca differenza il tipo di vulnerabilità, ne sono passati 8,
Le vulnerabilità non sono tutte le stesse, e 8 mesi potrebbero non essere sufficienti.
se la rivista voleva divulgare la cosa era liberissima di farlo...
Certamente, ma si assume anche la responsabilità di essere critica.
a me sembra solo che l'offerta di denaro da parte di intel li abbia "offesi", o perchè l'hanno reputata troppo esigua, o proprio per una questione di principio.
Qualunque sia il motivo, SE fosse accertato non sarebbe certo una bella mossa da parte di Intel.

Fermo restando che, come già detto, in questi casi sarebbe meglio posticipare la pubblicazione di notizie, per concedere più tempo per sviluppare misure appropriate, visto che non parliamo del classico buggetto di GIMP.

De gustibus. Io preferisco questa:
https://c7.uihere.com/files/123/177/238/scarlett-johansson-black-widow-marvel-avengers-assemble-iron-man-marvel-cinematic-universe-scarlett-johansson-thumb.jpg
Mah.....cdmauro...........:asd:, hai dato una risposta Off Topic :asd:

Fin li arrivano tutti, ehhh.....:)

Minimo, appunto.

Le vulnerabilità non sono tutte le stesse, e 8 mesi potrebbero non essere sufficienti.

Volendo potrebbe non essere mai corretta per quanto ne sappiamo, magari intel chiedeva di non divulgare la cosa perchè correggere il problema equivale a stroncare le prestazioni dei processori...ovviamente lo dico per ridere :)...cmq in questi casi immagino che anche alla rivista si siano dati più o meno una "scadenza", se entro tot non risolvono noi pubblichiamo e basta, è abbastanza normale.

Certamente, ma si assume anche la responsabilità di essere critica.

Forse intendi criticata, immagino un errore di battitura, cmq quando si fa informazione si prendono oneri e onori, come sempre.

Qualunque sia il motivo, SE fosse accertato non sarebbe certo una bella mossa da parte di Intel.

Si saranno fatti i loro conti, probabilmente preferiscono sviare l'attenzione su questo più che sul bug, alla fine che le multinazionali facciano ste schifezze è risaputo :).

Fermo restando che, come già detto, in questi casi sarebbe meglio posticipare la pubblicazione di notizie, per concedere più tempo per sviluppare misure appropriate, visto che non parliamo del classico buggetto di GIMP.

Qui purtroppo si scade nei punti di vista, dal punto di vista giornalistico informare il mondo è più importante di qualsiasi altra cosa, dal punto di vista tecnico e affaristico tenere insabbiate le cose è fondamentale...hanno ragione entrambi e nessuno dei due, cmq da ignorante in materia penso che divulgare la notizia sia stata la mossa giusta, un po' per dare una scossa a intel, un po' perchè è giusto per chi acquista hardware nuovo essere a conoscenza di eventuali problematiche in modo da decidere cosa comprare.

@andy45: credo che non ci siano dubbi che Intel cerchi di portare acqua al proprio mulino.

Ciò che voglio sottolineare è che quando ci sono gravi bug/vulnerabilità, si dà il tempo di sviluppare dei fix prima di rilasciarne delle informazioni.

Questa è una pratica abbastanza comune e diffusa.

Se così non fosse, si potrebbero pubblicare immediatamente tutti i dettagli delle falle. Per "informare" gli utenti riguardo alle loro scelte.

Ma le conseguenze di ciò penso siano ovvie. Ed è il motivo per cui non si fa.

P.S. Sì, era un errore di digitazione.

Ciò che voglio sottolineare è che quando ci sono gravi bug/vulnerabilità, si dà il tempo di sviluppare dei fix prima di rilasciarne delle informazioni.

Infatti sono stati lasciati 8 mesi, se in questo intervallo temporale non sono riusciti a rilasciare neanche un fix iniziale sicuramente non lo faranno né in 9 né in 10 mesi, probabilmente non rilasceranno niente neanche in un anno...i giornali guadagnano con le notizie, non tenendole nascoste.

Non è che si voglia impedire all'infinito la pubblicazione di queste notizie.

Una buona strategia potrebbe essere che, una volta scoperta una vulnerabilità, lo scopritore metta a conoscenza l'azienda, richiedendo al contempo una schedule di tutte le attività che saranno messe in piedi per arrivare al fix, e di essere informato sul progresso dei lavori, e di eventuali ritardi (con annessa spiegazione, ovviamente).

@tallines: OT per OT, credo il mio sia più apprezzato. :oink:

in questo 'clima' penso che abbia una parte anche la ricerca della notorietà, che sotto gli strati di algoritmi ci stanno cmq esseri umani con le loro ambizioni
ad ogni modo lato pr, intel non ne sta scansando molte, di cacche :fiufiu:

E niente, non capisci nulla anche in ambito di sicurezza, sebbene ammorbi l'altro thread che parla di queste vulnerabilità.

I malintenzionati monitorano costantemente posti come la mailing list di Linux, andando a caccia di indizi per poter sfruttare eventuali falle zero-day.

Pubblicando le prime notizie il 4 Dicembre, con tanto di conferma che AMD non avesse problemi (il che lascia ovviamente pensare che Intel ne avesse, invece), scatta un campanello d'allarme: c'è qualcosa in ballo. E dunque possono darsi da fare, analizzando patch et similia, per cercare di capire cosa si sta cercando di fixare, per poi tenare di frutta l'attuale falla.

Queste cose "da manuali" per chi ha intenzione di sviluppare malware et similia. Tecniche ben note in ambito di sicurezza, che chiunque ne mastichi un po' può confermare.
Che NON vuol dire che siano sufficienti, di per sé.


E niente, non si capisce se ci sei o ci fai, quanto da te sopra detto non c'entra nulla con quanto ti contestavo ma fai come i polpi che sparano una nube di inchiostro per propiziarsi la fuga e stai completamente sviando il discorso.
Che verteva su queste seguenti panzane che sono da risate a crepapelle:



Intel ha cercato di posticiparla offrendo soldi, ma per prevenire problemi, come peraltro risulta a chiare lettere da quello che avevo riportato. :read:
E dunque tutto ciò per proteggere gli utenti.


Certo come no, in intel ci sono anche i puffi blu di cui sei tu il capo che incartano cioccolata blu infatti la notizia oggetto di discussione era questa: La pubblicazione Nieuwe Rotterdamsche Courant riferisce che Intel ha offerto di pagare ai ricercatori una "ricompensa" di 40.000 dollari per presumibilmente indurli a minimizzare la gravità della vulnerabilità, e ha sostenuto la loro offerta con altri $ 80.000. La squadra ha gentilmente rifiutato entrambe le offerte.

E poi hai scritto anche:

E' gravissimo che tale ricerca sia stata pubblicata senza nemmeno dare il tempo di preparare delle contromisure, come anche gli altri utenti hanno cercato (inutilmente) di far notare.




"Intel argues that information of vulnerabilities becoming public before it's had a chance to address them would give the bad guys time to design and spread malware that exploits the vulnerability."

Tutte palesi falsità perchè i ricercatori hanno segnalato un tentativo di corruzione da parte di intel e intel, come ti ha fatto notare anche qualcun altro, ha avuto 8 mesi di tempo ovvero 2 mesi in più di tempo rispetto alle tempistiche UFFICIALI che erano di 6 mesi circa per spectre e meltdown.
Riassumendo intel ha avuto un periodo di tempo ragionevole e ha provato a pagare gente per chiudere loro la bocca, sempre che la notizia sia vera. Se fosse stato per questioni di sicurezza solamente sarebbe bastata solo questa ragione per convincere i ricercatori, che evidentemente non cercavano denaro perchè lo hanno rifiutato quando è stato loro offerto, a posticipare la divulgazione della notizia ma così non è avvenuto perchè 8 mesi, checchè tu ne dica e la tua parola vale come la mia, forse sono stati un tempo ragionevole.


Detto da te fa soltanto ridere.

E niente, se non ti rendi continuamente ridicolo non sei contento.

Il reato di corruzione è previsto esclusivamente per i PUBBLICI UFFICIALI.

E ovviamente NON è questo il caso.

Praticamente di qualunque cosa si parli, dimostri una colossale ignoranza in materia...

E qui c'è un circolo logico che soltanto tu riesci a mettere in piedi sulla base del nulla.

Prima di tutto non c'è un reato di corruzione (vedi sopra).

Secondo, non è stato nemmeno dimostrato questo tentantivo.

Terzo e posto che il secondo sia accertato, mi faresti vedere chi è abbia detto di essere d'accordo con Intel?

Le tue sono soltanto BUGIE e MISTIFICAZIONI! Oltre che completa carenza di logica (nonché conoscenza della legislazione).

Minimo, appunto.

Le vulnerabilità non sono tutte le stesse, e 8 mesi potrebbero non essere sufficienti.

Certamente, ma si assume anche la responsabilità di essere critica.

Qualunque sia il motivo, SE fosse accertato non sarebbe certo una bella mossa da parte di Intel.

Fermo restando che, come già detto, in questi casi sarebbe meglio posticipare la pubblicazione di notizie, per concedere più tempo per sviluppare misure appropriate, visto che non parliamo del classico buggetto di GIMP.

E qui confermi una volta di più che o non leggi o non capisci, ho specificato comportamento moralmente, che vuol dire da un punto di vista morale e non penale, criminale perchè offrire soldi per tappare la bocca alla gente su informazioni che riguardano potenzialmente la sicurezza di miliardi di persone non è una stupidaggine ma qualcosa di moralmente molto più brutto e se tu minimizzi sei solo complice di questo modo di pensare e di agire.
Anche perchè, passati 8 mesi, qualcun altro con cattive intenzioni potrebbe aver scoperto il problema e aver deciso di sfruttarlo con intenzioni malevole, quindi forse ad un certo punto è bene che l'utenza lo sappia e abbia la possibilità magari di comprare un sistema immune dal problema come lo è quello con cpu AMD :asd: Rimane infatti da capire, visto che il mondo è grande e vario, se una problematica di questo tipo fatta tacere col denaro e che potenzialmente potrebbe danneggiare miliardi di persone per la giustizia di altre nazioni che non siano l'Italia possa avere qualche profilo di tipo penale.

Non è che si voglia impedire all'infinito la pubblicazione di queste notizie.

Una buona strategia potrebbe essere che, una volta scoperta una vulnerabilità, lo scopritore metta a conoscenza l'azienda, richiedendo al contempo una schedule di tutte le attività che saranno messe in piedi per arrivare al fix, e di essere informato sul progresso dei lavori, e di eventuali ritardi (con annessa spiegazione, ovviamente).

Non risolve il problema, dal punto di vista dell'azienda la notizia si deve nascondere per più tempo possibile, l'ideale sarebbe darla dopo il rilascio di un fix definitivo, per il giornalista la notizia deve essere pubblicata il prima possibile, magari come ora con intel che ancora non è riuscita a risolvere il problema, in modo da fare ancora più clamore...se poi intel si mette pure a offrire soldi in cambio del silenzio fanno solo il gioco della rivista, i giornali non aspettano all'infinito, da un punto di vista giornalistico 8 mesi sono un'eternità.

Per litigare e insultarvi non potreste usare i messaggi privati, o scambiarvi il numero di telefono?

Perché credo che il forum sia nato con altre intenzioni


Inviato dal mio iPad utilizzando Tapatalk