А по теме - да пофиг на эти уязвимости, их там ещё можно наковырять с десяток вероятно, только условия для получения контроля в этих дырках таковы что уж проще вынести накопитель, чем дыркаться в эти дыры
Просто допустим сейчас, человек для себя или родных хочет собрать или купить готовый комп и знает положение с уязвимостью безопасности процессоров интел – повлияет это на выбор им проца для компа или неТ (можно и без голосовалки)? Тоже для админа, от которого директор IT отдела просит дать рекомендацию на закупку 100 компов под новый офис в филиале компании (рекомендация может стоить места, если дырой воспользуются), что победит тут привычка, фанство или рацио?
vltk:Просто допустим сейчас, человек для себя или родных хочет собрать или купить готовый комп и знает положение с уязвимостью безопасности процессоров интел
Я думаю, что для 90 процентов покупателей, важнее будет вопрос "будет ли показывать фильмы и играть танки", чем есть ли там какая-та дыра, а где же она там появилась.
vltk:Просто допустим сейчас, человек для себя или родных хочет собрать или купить готовый комп и знает положение с уязвимостью безопасности процессоров интел – повлияет это на выбор им проца для компа или неТ (можно и без голосовалки)? Тоже для админа, от которого директор IT отдела просит дать рекомендацию на закупку 100 компов под новый офис в филиале компании (рекомендация может стоить места, если дырой воспользуются), что победит тут привычка, фанство или рацио?
Установил всем libreoffice, а через полгода вместе со сменой офисных компов на всех новых поставили Linux, были жалобы "тут ярлыки не такие красивые!", "а мне старая версия виндовса больше нравилась!", как думаете этим людям будет дел до того, что у них в системнике стоит гиперпень или райзен?
Стоить места может шифравание всех офисов подобием WannaCry, отсутствие занятости сотрудников из-за соц сетей и прочего, поэтому первая очередь любого админа это запрет исполняемых файлов на ПК сотрудников, глобальных фаервол с блокировкой всего и вся что мешает работе или приведет к ухудшению работы ПО, шифрование трафика и запрет к устройствам извне. А ещё думаем головой и даем под личную роспись каждого бумажку з запретом смотреть _, открывать письма от неизвестных лиц и пытаться запустить это_точно_не_вирус.zip.exe, чтоб в первую очередь при возможном конфликте юзверь не прикинулся шлангом с покерфейом "я не знал, что так нельзя" и если после этого каким-то чудом из-за уязвимости Intel взломают 100 ПК в офисе то сам пойду искать другую работу ведь это будет головная боль для 146% админов
Это все равно , что заядлому курильщику сказать , что во всех сигаретах, нашли смолы , которые негативно влияют на организм... Что изменится?
Это я к примеру
Декабрьское интервью с сисадмином/инженером по оснащению/обслуживанию большого парка машин в медицинской области ( "светиться
" не хочет - анонимно) - enterprise анонимуса:
Первая половина:
Уязвимости Intel становятся кошмаром, например, новый Cascade Lake идёт с некоторыми исправлениями, но не было понятно, нужно ли на нём отключать HyperThreading из-за MDS (Zombieload) v2. В итоге ответ он получил: с включенным HyperThreading свежий Intel Cascade Lake не безопасен.
Intel не исправляет архитектурные причины уязвимостей, а закрывает заплатками конкретные опубликованные способы эксплуатации этих уязвимостей. Процесс непрестанного обновления (используемый в ПО), закрывающий по одной уязвимости за патч, не подходит для железа.
Поток уязвимостей Intel не прекращается и тем кто связан по работе с серверами на процессорах Intel приходится разбираться с безопасностью, вместо того, чтобы проводить выходные с семьёй.
Cascade Lake идут с предустановленными патчами из-за чего, даже если не накатывать патчи самостоятельно, производительность местами сразу ниже, чем у предыдущего поколения. При выборе между безопасностью и производительностью, в enterprise выбирают безопасность, но у AMD не нужно жертвовать производительностью ради безопасности.
Энергоэффективность процессора важнее его цены: пара 10-ти ядерных Xeon за $1400 потратят электричества на более чем $3000 за 8 лет. Есть некоторые компании, которые выкидывают сервера каждые 3 года, для них отношение цены электричества к цене процессора другое.
Его сервера (здравоохранение) атакуют почти ежедневно, включая локальные атаки внутри датацетра, где стоят его сервера. Из-за этого уязвимости вроде NetCAT, которые Intel называет LOW Severity, для него критичны.
После публикации meltdown пришло осознание что валидация нужна не только для ПО в серверах, но и железу и firmware. Просто доверять железу и firmware от Intel нельзя. Спустя 18 месяцев после первой публикации о уязвимости (meltdown январь 2018), кумулятивный эффект от патчей снизил производительность его серверов ниже минимально допустимого уровня, что пришлось отключать задачи, которые отключать нельзя. Снижение производительности для его задач от патчей:
Meltdown и Spectre 5-7%,
Foreshadow (L1TF) 17%, тут пришлось отключать некритичные задачи и приглядываться к AMD, так как место в датацетре не резиновое и если начать докупать сервера Intel для компенсации потерянной производительности, то не ясно что кончится раньше: поток уязвимостей Intel или место в датацетре.
PortSmash, TLBleed, Spoiler без существенного снижения производительности для его задач
MDS (Zombieload) - существенно. Патчи L1TF+MDS привели к потере более 40% производительности. На данный момент в сумме потеряно более половины производительности. Если отключить Hyper-threading и патчи L1TF+MDS, то потеря производительности 10% на ядро, но логических ядер станет в 2 раза меньше, из-за чего виртуальным машинам не хватит ресурсов.
Последней каплей для него стал NetCAT. Так как датацетр целиком ему не принадлежит, для защиты от атак внутри датацетра нужно выключить Data-Direct I/O (DDIO) он же Direct Cache Access (DCA), из-за чего взлетело CPU I/O wait time. Эффект оказался настолько значительный, что пришлось включить DCA обратно и сидеть с незакрытой дырой до EPYC. Здравоохранение не единственная сфера, где некомфортно сидеть с незакрытыми дырами.
Сейчас патчат MDS v2
Cascade Lake AP на 56 ядер для кричащих заголовков статей. Купить его нельзя. EPYC 7H12 на 280W имеет больше смысла, чем Xeon Platinum 9200 на 400W.
AMD делают упор на то что ему важно: энергоэффективность, безопасность. Intel делают упор на проприетарную экосистему с оптаном. Если будет нужно, то Memory Extension Drive на PCIe есть у Western Digital: Ultrastar DC ME200.
До виртуализации миграция с Intel на AMD Opteron была затруднена тем, что производители ПО отказывали в поддержки если процессор не от Intel. Теперь виртуализация помогает в миграции.
При выборе платформы важны перспективы. По roadmap от AMD виден прогресс, чего не видно по родмапам Intel c их перемаркировкой 14nm снова и снова.
По доступности AMD EPYC есть вопросы: 16 и 24 ядерные EPYC просто так купить нельзя, они под заказ с временем ожидания от 3-х месяцев. Пришлось ему покупать 64-х ядерный вместо изначального плана попробовать 24 ядерный EPYC Rome (Zen2) до выхода EPYC Milan (zen3). После замены Xeon на EPYC 7702P выяснилось, что AMD продешевила. С точки зрения цена/производительность 7702P должен бы быть на пару тысяч долларов дороже. На 7702P он отключил буст (3.35GHz) и скинул частоту до 1.5ГГц. При таком раскладе EPYC на ядро в среднем оказался на 30% быстрее (от 20% до 100% в зависимости от задачи), чем Intel Xeon без патчей.
Основная его проблема с Xeon - отсутствие roadmap по тому что Intel будет делать в плане безопасности. Intel ставит заплатку на одну уязвимость в кремнии и анонсирует новый процессор, но пока он доедет до датацентра (что может занять год), в нём найдут ещё 3 уязвимости. Никаких roadmap по разработке новой архитектуры вместо заплаток.
По производительности приходится сравнивать ядра Intel с потоками AMD. На Intel Xeon нужно либо отключать Hyper-threading либо ставить патчи против L1TF и MDS, которые вместе убивают 40% производительности. На сокет получается 28 ядер Intel против 128 виртуальных ядер AMD. Плюс в его задачах Zen2 даёт на 30% больше IPC чем Xeon. От сервера за $10 000 с Xeon, который планировалось использовать 10 лет, пришлось отказаться спустя 2 года и 7 месяцев использования. За 8 лет стоимость владения им составила бы $22 000. Стоимость владения сервером с EPYC 7702P составит $25 000. При схожей стоимости владения серверов, чтобы выйти на уровень производительности одного EPYC 7702P для его задач потребовалось бы 4 сервера на базе Xeon без патчей или 8 серверов на базе Xeon с патчами безопасности. То есть выбор между 8 серверов с Xeon со стоимостью владения $22 000 каждый (8*22=176) либо 1 сервер с EPYC $25 000. Дешевле оказалось выкинуть сервер с Xeon, чем его использовать.
Для маленького бизнеса, которому достаточно 4-8 ядер, стоимость платформы от Intel гораздо ниже, чем от AMD.
Во второй половине что-то про крупный госпиталь в Нью-Йорке, который потратил больше миллиона долларов на обновление их серверов Intel Xeon. После этого они тоже потеряли половину производительности из-за патчей. Производительности оказалось недостаточно для нормальной работы, а докупать ещё столько же серверов с Xeon нет возможности, так как бюджет уже потрачен. В итоге им пришлось переводить имеющиеся IBM POWER с backend на frontend что-бы хоть как-то работало.
DuckRider:а когда серверный рынок перейдет на амд, то найдут уязвимости и у них, перегоняя на другую платформу. Не плохой план по дойке хомяков.
Оно-то - да, но в реале, серверный сегмент не настолько глуп, как любители статистики steam из местных.
Поэтому уязвимости, если они есть, найдутся гораздо быстрее.
Скорее далеко не бедствующий 
