Microsoft: a javítás fájni fog
Meglepetésre opcionálisan kapcsolható be a Windows Server rendszerek esetében a Spectre/Meltdown védekezés fájdalmas része, a javítások telepítése önmagában még nem okoz jelentős teljesítményvesztést.
Elöljáróban: konkrét számok sajnos nincsenek. A Microsoft ugyan kiadta figyelmeztetését, hogy bizony a Spectre/Meltdown biztonsági problémára kiadott rendszerfrissítések visszavetik majd a számítógépek teljesítményét, arra azonban még becslést sem adott, hogy ennek nagysága mekkora lesz.
A céges blogon Terry Myerson, a Windowsért és a saját eszközökért felelős Microsoft-alelnök írta meg a legfrissebb helyzetjelentést. Eszerint a cég 45 támogatott Windows operációs rendszeréből már 41 kapta meg a megfelelő javításokat, hamarosan pedig a teljes portfólió védettséget élvez majd. A Spectre első variánsa ellen a kód fordítójának módosításával tudott védekezni a cég, az újrafordított binárisok csorognak le a Windows Update-tel. Szintén az első variáns elleni védekezés, hogy az Internet Explorer 11 és az Edge böngészők JavaScript motorja módosításokat kapott, így webről is kizárható a potenciális támadás. A második verzió ellen kockázatos szituációkban a kód új CPU utasításokat hív meg, de a teljes védelemhez ez nem elég, szükség van a mikrokód frissítésére is - ez felhasználói szempontból BIOS-frissítést jelent. A Meltdown problémát a kernel és a felhasználói módú memórialapok izolációja oldja meg, ez az, amely jelen állás szerint leginkább beleharap a teljesítménybe is.
Az operációs rendszertől és a chiptől függően a Microsoft több teljesítményvesztési fokozatról számol be: Windows 10-et frissebb Intel (Skylake vagy újabb) lapkán futtatva a mérések egy számjegyű százalékos lassulást mutatnak - ezt a cég úgy jellemzi, hogy ezek ezredmásodpercekben mérhető különbségek, a legtöbb felhasználó számára ezek nem lesznek észrevehetőek. Windows 10 és régebbi chip (Haswell vagy régebbi) kombinációja már néhány felhasználó számára érezhető lesz, a mérések "jelentősebb" lassulást mutatnak. A fekete leves a régebbi chip-régebbi operációs rendszer (Windows 8 és korábbi) kombinációnál indul, erre a cég már azt mondja, hogy a lassulást a felhasználók többsége észlelni fogja.
A Microsoft szerint a Windows 10 és a korábbi Windows-kiadások közötti teljesítménykülönbségre magyarázat, hogy a régebbi kiadásoknál sokkal gyakoribb a kernel-user átmenet, ezek nagy részét a Windows 10 igyekezett már kiszűrni: például a régebbi rendszereknél a betűk renderelését is kernelben végzi, ez a Windows 10-ben már kikerült a rendszer magjából.
Szerveren opcionális
"Mivel a Windows kliensek sokféleképp kerülnek kapcsolatba nem biztonságos kóddal, beleértve a reklámokkal rendelkező weboldalak böngészését és alkalmazások letöltését, javaslatunk minden kliens rendszerre a Windows frissítések és a mikrokód javítások telepítése." - áll a blogposztban. A frissítések automatikusan aktiválják a legmagasabb védelmet, így a kliens rendszerek biztonságban lesznek.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
A csavar: olyan szerveres környezetben azonban, ahol egészen biztosra vehető, hogy a gépen nem fog ismeretlen, nem biztonságos kód futni, ott a rendszergazda saját hatáskörben dönthet úgy is, hogy a védelmet bekapcsolja-e. Ezt a döntést pedig a Microsoft egészében az üzemeltetőre bízza, pusztán a frissítés telepítése önmagában nem adja meg a maximális védelmet. A bekapcsoláshoz a rendszerleíró adatbázishoz kell három kulcsot hozzáadni, amely a védelem egyes elemeit aktiválja veszélyben lévő szervereken, egyelőre a grafikus interfészre nem vezetett ki kapcsolókat a Microsoft. A bekapcsolt védelem a rendszer újraindítása után élesedik, így már nem megbízható, idegen kód futtatása esetén sincs veszélyben a szerver.
Az opcionális védelmet a lassulás indokolja. A Windows Server a chip típusától függetlenül IO-intenzív feladat alatt "jelentősebb teljesítményvesztést" szenved. Ezért a Microsoft azt javasolja, hogy a kockázatok és a veszteség mérlegelésével minden rendszergazda saját hatáskörben döntsön arról, hogy megéri-e ezeket bekapcsolni. A Microsoft az Azure infrastruktúra-szolgáltatásban mindenesetre minden létező védelmet bekapcsolt - biztos, ami biztos.