Dennis50300
Anmeldungsdatum: 11. Januar 2018
Beiträge: 84
Wohnort: Braunschweig
|
Afaik laufen die meisten Netbook und Notebook's mit Intel Grafik, aber selbst da haben wir noch "SNA" vs. "UXA" , UXA wurde glaub ich standardmässig mit SNA ersetzt. Ich hab im Anmeldefenster auf einem Samsung R530 auch manchmal die untere Hälfte des Bildes "zerfetzt" aber ansonsten interessanterweise keine Probleme.
Intel Mobile GM 45 Express Chipset ist hier verbaut, woanders wird es sich sicherlich anders verhalten können. Was Meltdown anging bin ich am Hauptrechner auf Nummer sicher gegangen, die eher schlechten Workarounds auf Windows 7 deaktiviert nachdem ich den Microcode im Bios aktualisiert habe. (den aktuellen für meine i7-2600 Sandy Bridge, von Intel halt aktualisiert)
Das ist natürlich nicht sooo einfach und mit einem gewissen Risiko verbunden, man modifiziert ein Bios ja nicht einfach mal so salopp, ich hab da allerdings Dualbios und auch schon Erfahrungen damit sodass das kein Problem war. Was uBlock angeht, ja den kann man installieren, mit einer guten Hosts-Datei braucht man den aber nicht, also wenn nötig dann schaltet man das halt mal ein.
Hier gibt es eine gute Hosts-Datei http://winhelp2002.mvps.org/hosts.htm
Wenn das als "proprietärer" Treiber hier auf der Ubuntu und ihren Flavours so gut funktioniert mit "intel-microcode" braucht man sich seitens einer solchen Linux-Distribution dann über Meltdown eh keine Sorgen machen. Gruss Dennis
|
seahawk1986
Anmeldungsdatum: 27. Oktober 2006
Beiträge: 11180
Wohnort: München
|
Dennis50300 schrieb: Was Meltdown anging bin ich am Hauptrechner auf Nummer sicher gegangen, die eher schlechten Workarounds auf Windows 7 deaktiviert nachdem ich den Microcode im Bios aktualisiert habe. (den aktuellen für meine i7-2600 Sandy Bridge, von Intel halt aktualisiert)
Die Microcode-Updates helfen nichts gegen Meltdown - das wird für bislang existierende betroffene Intel-CPUs rein in Software gefixt. Schau dir mal https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/Intel-Analysis-of-Speculative-Execution-Side-Channels.pdf Abschnitt 3.3 (Seite 5) an. Gegen Spectre Variante 2 (Seite 4 f.) hilft auch nur die Anpassung der Software plus Microcode-Update und der Performance-Verlust ist für ältere CPUs je nachdem welche (bislang verfügbare) Schutzstufe man aktiviert ziemlich heftig: https://arstechnica.com/gadgets/2018/01/heres-how-and-why-the-spectre-and-meltdown-patches-will-hurt-performance/.
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 53624
Wohnort: Berlin
|
Dennis50300 schrieb: Afaik laufen die meisten Netbook und Notebook's mit Intel Grafik
Was jetzt genau was daran ändern soll, dass der TE nunmal ein Samsung N510 mit Nvidia-Ion hat?
|
Dennis50300
Anmeldungsdatum: 11. Januar 2018
Beiträge: 84
Wohnort: Braunschweig
|
seahawk1986 schrieb: Dennis50300 schrieb: Was Meltdown anging bin ich am Hauptrechner auf Nummer sicher gegangen, die eher schlechten Workarounds auf Windows 7 deaktiviert nachdem ich den Microcode im Bios aktualisiert habe. (den aktuellen für meine i7-2600 Sandy Bridge, von Intel halt aktualisiert)
Die Microcode-Updates helfen nichts gegen Meltdown - das wird für bislang existierende betroffene Intel-CPUs rein in Software gefixt. Schau dir mal https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/Intel-Analysis-of-Speculative-Execution-Side-Channels.pdf Abschnitt 3.3 (Seite 5) an. Gegen Spectre Variante 2 (Seite 4 f.) hilft auch nur die Anpassung der Software plus Microcode-Update und der Performance-Verlust ist für ältere CPUs je nachdem welche (bislang verfügbare) Schutzstufe man aktiviert ziemlich heftig: https://arstechnica.com/gadgets/2018/01/heres-how-and-why-the-spectre-and-meltdown-patches-will-hurt-performance/.
Öhm
https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/ Überschrift "Ehemaliger Intel-Mitarbeiter dämpft Hoffnung auf kurzfristige Hardware-Fixes", direkt nach "Update-Empfehlungen" wo die Regedit Sachen gezeigt sind zum an/ab schalten der Software Workarounds. Du kannst mit nem Microcode Update bei Intel Meltdown beheben, aber eben auch nur wenn dein Boardhersteller es die anbietet oder du selber dazu in der Lage bist zumindest das letzte offizielle Bios mit neuen Microcodes zu versehen. Hier gibt es die Microcodes:
https://downloadcenter.intel.com/download/27431/Linux-Processor-Microcode-Data-File Ich brauchte dazu bloss mit einem Tool die einzelnen Microcodes (für die jeweiligen CPU's) zu extrahieren in einzelne Dateien.
Danach konnte ich mein Biosfile damit bearbeiten mit einem anderen Tool und habe exakt den Microcode für meinen i7-2600 aktualisiert b.z.w. ausgetauscht.
Der Microcode ist nämlich 1:1 im Biosfile enthalten, genauso Binär eben, das landet ja nunmal 1:1 im Flashchip aufm Mainboard und das führt das ab Anschalten einfach nur aus. Ist halt sauberer und genauso funktioniert es auch, der VMWare-Treiber Quark kommt bekannterweise zu spät..., was auf Ubuntu-Linux anders sein mag, aber warum nicht auch dort den Umweg ersparen und den Rechner jedenfalls bei Kaltstart schneller starten lassen ohne extra intel-microcode installiert haben zu müssen und beim Booten zuerst laden lassen zu müssen nicht wahr 😉 @tomtomtom
vorrangig ging es dem TE um Meltdown/Spectre ? 😉
Mit 17.10 kein Problem, auf 16.04 würde ich die LTS Enablements aktivieren
https://wiki.ubuntuusers.de/LTS_Enablement_Stacks/ Danach sollte der Kernel aktuell genug sein Gruss Dennis
|
seahawk1986
Anmeldungsdatum: 27. Oktober 2006
Beiträge: 11180
Wohnort: München
|
Dennis50300 schrieb: Öhm
https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/ Überschrift "Ehemaliger Intel-Mitarbeiter dämpft Hoffnung auf kurzfristige Hardware-Fixes", direkt nach "Update-Empfehlungen" wo die Regedit Sachen gezeigt sind zum an/ab schalten der Software Workarounds.
Ja eben - es gibt bislang nur Software-Fixes für Meltdown (das ist auch das, was die Kernel-Updates bei Ubuntu für x86 64-Bit Systeme bislang gemacht haben), deswegen kann man diese Workarounds in Software (de-)aktivieren. Du kannst mit nem Microcode Update bei Intel Meltdown beheben, aber eben auch nur wenn dein Boardhersteller es die anbietet oder du selber dazu in der Lage bist zumindest das letzte offizielle Bios mit neuen Microcodes zu versehen.
Nein, kannst du nicht - vgl. Abschnitt "Update 04.01.2018 21:29 Uhr", letzte zwei Abschnitte von "Google Schafft Klarheit" in dem von dir verlinkten Computer Base Artikel. Man kann für Spectre Variante 2 mit Microcode-Updates API-Änderungen für die CPU ermöglichen, die man dann in Software ausnutzen kann, um sich gegen Angriffe zu schützen und das ist das was gerade bei älteren CPUs je nach gewählter "Schutzstufe" einen empfindlichen Leistungseinbruch verursachen kann.
|
Dennis50300
Anmeldungsdatum: 11. Januar 2018
Beiträge: 84
Wohnort: Braunschweig
|
@seahawk1986: Upps, joa, das ganze durcheinander da kann man sich schonmal vertun ne. Aaaber immerhin geht da was mit Microcode-Update 😉
Und da wird sicherlich auch noch mehr gehen, Softwareworkarounds sind ja auch nur vorübergehend. Ich hab auf Ubuntu jedenfalls keine merklichen Performanceprobleme/-einschränkungen.
Windows wird sich zeigen, wenn ich mal wieder zum Spielen komme, falls sich dann nicht schon wieder verbesserte Lösungen zeigen wenn ich auch Lust sowie Zeit dazu habe. Gruss Dennis
|
seahawk1986
Anmeldungsdatum: 27. Oktober 2006
Beiträge: 11180
Wohnort: München
|
Dennis50300 schrieb: Und da wird sicherlich auch noch mehr gehen, Softwareworkarounds sind ja auch nur vorübergehend.
Nein, die sind die einzige Lösung, bis die CPUs in Hardware vor dem Problem sicher sind (und das dürfte noch ein Weilchen dauern, bis die CPU-Hersteller soweit sind). Mit etwas Glück gibt es noch Verbesserungen an den Software-Fixes, die zu weniger Performance-Nachteilen führen, aber los wirst du die voraussichtlich nicht. Ich hab auf Ubuntu jedenfalls keine merklichen Performanceprobleme/-einschränkungen.
Da gibt es ja noch nichts gegen die beiden Spectre-Varianten. Da ist nach dem was man so liest der Performance-Malus am größten.
|
voxxell99
Anmeldungsdatum: 23. September 2009
Beiträge: 3903
Wohnort: da, wo andere Urlaub machen. :)
|
Rockfan93 schrieb: Ich glaube, es wäre sogar (wieder) sicher, Paypal mit Windows 95 zu verwenden. Darauf läuft keine aktuelle Software (also auch keine Viren,etc.), was aber auch bedeutet, dass ein aktueller Browser leider nicht installierbar ist.
Das nehme ich mal als Joke. Nimm einen Raspi, der ist nicht verwundbar, aber auch heute gut verwendbar.
|
Dennis50300
Anmeldungsdatum: 11. Januar 2018
Beiträge: 84
Wohnort: Braunschweig
|
@seahawk1986: Also so oder so schlecht für ältere Hardware, leider. @voxxell99 Ich habe einen Raspi 3 Model B hier, die Dinger taugen doch maximal für PiHole, vielleicht noch ne kleine eigene "Cloud" im Netzwerk und das wars.
Keine Ahnung wie jemand tatsächlich mit den Teilen LibreOffice verwenden mag, Raspbian lite ist echt ne feine Sache, aber mit grafischer Oberfläche kannst das Teil was sowas von in die Tonne treten 😀 Gruss Dennis
|
Thomas_Do
Moderator
Anmeldungsdatum: 24. November 2009
Beiträge: 8542
|
Dennis50300 schrieb: Solange der Microcode im Bios nicht aktualisierbar ist, ist das eher ein schlechter Workaround, egal ob langsamer über Kernel oder "intel-microcode" vielleicht nicht mehr langsamer, aber auch unsicherer sowie instabiler. Da braucht nur ein Programm in den Originalcode gehen abgesehen vom Arbeitsspeicher und Cache und Bumm, Meltdown greift dann wieder.
Dennis50300 schrieb: Der Microcode ist nämlich 1:1 im Biosfile enthalten, genauso Binär eben, das landet ja nunmal 1:1 im Flashchip aufm Mainboard und das führt das ab Anschalten einfach nur aus. ... ohne extra intel-microcode installiert haben zu müssen und beim Booten zuerst laden lassen zu müssen nicht wahr 😉
Ich kann Deine Ausführungen zum Microcode nicht so ganz nachvollziehen. Zeittechnisch ist es völlig unerheblich, wann der Microcode geladen wird (nach Aktivierung von Bios/UEFI) oder aus dem Bootloader heraus. Und das Laden eines Microcodes aus dem Bios heraus ist nicht sicherer als ihn später zu laden. Da der Code flüchtig ist, kann er eben grundsätzlich in der CPU geändert werden.
|
Dennis50300
Anmeldungsdatum: 11. Januar 2018
Beiträge: 84
Wohnort: Braunschweig
|
Thomas_Do So wie es hier auf Ubunt/Linux geschieht, vom Bootloader aus, vor dem Kernel, ist es bei Windows deshalb zu spät weil die Softwareworkaround greifen oder auch nicht bevor der Microcode auf dem Stand der Dinge ist. Zitat, getestet von CB: "Neuer Microcode per Treiber ist keine Lösung Kreative ComputerBase-Leser sind auf die Idee gekommen, in Ermangelung eines vom Mainboard- bzw. Notebook-Hersteller bereitgestellten BIOS- bzw. Firmware-Update die Angelegenheit selbst in die Hand zu nehmen und den neuen Microcode mit dem VMware CPU Microcode Update Driver einzuspielen. Intel bietet aktuellen Microcode seit Dienstag zum Download an. Das VMware-Tool installiert den Microcode allerdings nicht dauerhaft, sondern lädt ihn bei jedem Betriebssystemstart. Und das passiert im Test von ComputerBase zu spät: Windows hat den Microcode schon vorher angeschaut und für zu alt befunden und lässt die Maßnahmen gegen Spectre „Variant 2“ somit deaktiviert. (In diesem Fall geben die beiden oben genannten Tools die zunächst verwirrende Info aus, dass Windows keine Maßnahmen gegen Spectre „Variant 2“ getroffen hat, obwohl das Windows-Update sowie neuer Microcode vorhanden sind – jener wird leider schlicht zu spät geladen. Siehe Screenshot.) " Das ist mit vielen diversen Sachen ähnlich, da ist Linux/Ubuntu einfach viel sinnvoller/besser als Windows, genau wegen sowas wie das nun bei Ubuntu beispielsweise mit dem Microcode läuft ☺
Da ich aber auch Windows benötige, bin ich so nachvollziehbar besser dran, wenn der Microcode ab Bios halt einfach vorhanden ist und läuft. Gruss Dennis
|
charly-ax
Anmeldungsdatum: 19. März 2013
Beiträge: 1749
|
Dennis50300 schrieb: ... Siehe Screenshot.
Wo? 🤓
|
Thomas_Do
Moderator
Anmeldungsdatum: 24. November 2009
Beiträge: 8542
|
charly-ax schrieb: Dennis50300 schrieb: ... Siehe Screenshot.
Wo? 🤓
Das ist ein Zitat aus dem zitierten Artikel. Folgendes Zitat aus dem Artikel
Das VMware-Tool installiert den Microcode allerdings nicht dauerhaft, sondern lädt ihn bei jedem Betriebssystemstart.
ist allerdings auch etwas merkwürdig, weil auch bei der "Bios-Methode" der Microcode nicht dauerhaft, sondern bei jedem Bootvorgang installiert wird. Prinzipiell muss neuer Microcode immer wieder den CPU-seitig vorhandenen überschreiben.
|
charly-ax
Anmeldungsdatum: 19. März 2013
Beiträge: 1749
|
Thomas_Do schrieb: charly-ax schrieb: Dennis50300 schrieb: ... Siehe Screenshot.
Wo? 🤓
Das ist ein Zitat aus dem zitierten Artikel.
Ups, wer lesen kann ... Danke für die Erleuchtung 💡
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
glaskugel schrieb: Nun ja, von Spectre hast du sicher schon gehört und jedes PW ist gefährdet So kommt das alte Netbook bei Ebay und Paypal wieder zur Anwendung.
LOL, nimm mal den Aluhut wieder ab 😊 Bisher hat mir niemand schlüssig erklären können, wie genau ein Angreifer weiß, in welchem Bereich also an welcher Steller im RAM die interessanten unverschlüsselten Passwörter stehen. Und damit ein Angreifer erstmal überhaupt an den RAM kommt, muss er entsprechenden code bei mir zur Ausführug kommen lassen. Das ist bei privaten Computern in der Praxis eigentlich nur üebr JavaScript im Browser machbar. Und die Browser wurden neulich erst gehärtet damit die Erfolgswahrscheinlich einer solchen JavaScript Attacke reduziert wird.
Ich will die CPU-Bugs jetzt nicht verharmlosen, aber wie schlimm und dann auch recht oberflächlich das berichtet wurde finde ich schon etwas grotesk.
|