URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 113216
[ Назад ]
Исходное сообщение
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено opennews , 05-Янв-18 09:13 
Доступен (https://www.mozilla.org/en-US/firefox/57.0.4/releasenotes/) корректирующий выпуск  Firefox 57.0.4, в котором реализованы (https://blog.mozilla.org/security/2018/01/03/mitigations-lan.../) средства для блокирования  уязвимостей (https://www.opennet.me/opennews/art.shtml?num=47856) Meltdown и Spectre, которые можно эксплуатировать через выполняемый в браузере JavaScript-код. Для затруднения  атак с 5 до 20µs была ограничена точность измерения интервалов времени функцией performance.now() и полностью отключена поддержка типа SharedArrayBuffer (https://developer.mozilla.org/en-US/docs/Web/JavaScript/Refe...), позволяющего создавать массивы в разделяемой памяти.  Следует отметить, что в  Firefox 52 ESR тип SharedArrayBuffer изначально отключен по умолчанию.


Аналогичные изменения (https://www.chromium.org/Home/chromium-security/ssca) планируется (https://support.google.com/faqs/answer/7622138#chrome) реализовать в выпуске Chrome 64, намеченном на 23 января. В текущем выпуске Chrome 63 атаки можно блокировать включив при помощи флага "chrome://flags/#enable-site-per-process" режим изоляции сайта (Full Site Isolation (http://www.chromium.org/Home/chromium-security/site-isolation)), при котором каждый сайт обрабатывается в отдельном адресном пространстве (в отдельном процессе). Кроме того, несколько часов назад вышло (https://chromereleases.googleblog.com/2018/01/stable-channel...) обновление Chrome 63.0.3239.132, в котором исправлены накопившиеся ошибки (https://chromium.googlesource.com/chromium/src/+log/63.0.323...).

URL: https://www.mozilla.org/en-US/firefox/57.0.4/releasenotes/
Новость: http://www.opennet.me/opennews/art.shtml?num=47861

Содержание
Сообщения в этом обсуждении
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 09:13 
Мне пожалуй хватит того что браузеры заткнули эту уязвимость. А так, незнакомый код на компе не запускаю
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 09:15 
WebAssembly.
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Anon123 , 05-Янв-18 10:17 
Разве он имеет доступ к разделяемой памяти и не выполняется в той же песочнице что и js? Разве он не компилируется в фактически js (его байт код)?
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 10:23 
Нет.
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 15:01 
> в той же песочнице

А что, песочница как-то помогает против мелтдауна и спектра?

"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 21:04 
Против мелтдауна помогает патч-переделка ядра, а против спектра частично помогают костыли типа уменьшения точности таймера
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 17:59 
там тоже можно точность таймера уменьшить
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 09:14 
Надо накатить! Обязательно!
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено сельд иваси , 05-Янв-18 19:34 
точно, надо накатить! Ну, за фирфокс!
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено QuAzI , 05-Янв-18 09:54 
Ждём бенчмарки, как за этими фиксами сказывается перфоманс браузеров и FF 57 догоняет версию 52, которая на слабых машинах заметно быстрее просто потому что меньше ресурсов жрёт, но зато с привычными дополнениями и без багов типа неотображаемых по RDP менюшек.
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 11:54 
Нет
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено анонист , 05-Янв-18 12:34 
По идее ничего не поменяется, просто удалят парочку возможностей js и все
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 14:13 
Нет.
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Orsi , 05-Янв-18 17:42 
У файрфокса максимальное найденое падение производительности - 2.1% . Думаю на отличающемся железе сильно хуже не будет . Проверял на Peacekeeper , Octane и Speedometer 1.0 . Можно ещё добавить ухудшение от патча ос , но пока не тестировал .
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено VINRARUS , 05-Янв-18 18:21 
>FF 57 догоняет версию 52, которая на слабых машинах заметно быстрее просто потому что меньше ресурсов жрёт

Глупость. Выставляеш 1 процес на весь браузер в настройках и 57 огнепанда уходит в серьйозный отрыв.
Проверено на OpenSUSE и AMD A4 3400.

"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 18:42 
Глупость - не читать ТЗ или перевирать его исходя из каких-то своих маленьких реалий. 2 ядра на 2.7 ГГц и DDR3 - этого добра сегодня навалом во всех магазинах. Оно конечно не вперде планеты всей, но и далеко не старенькое, ОЗУ можно навешать вагон, всякие игрульки и виндодесятки на нём пойдут без проблем. А ты возьми одноядерный камень постарше, упрись в 2Гб ОЗУ и посмотрим, как твоя огнепанда уходит в серьёзный СВОП наглухо превращая комп в кирпич. Я уже молчу о том, что например на ХР (да, на слабых машинах бывает ещё и такое, особенно у старичков которые за 15 лет троху привыкли) вообще не работает FF57
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Имя , 05-Янв-18 19:39 
EEE900. 2G на борту. Миллионом вкладок не увлекаюсь, свопа нет. FF57 прекрасно себя чувствует.
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено VINRARUS , 05-Янв-18 21:54 
> А ты возьми
> одноядерный камень постарше, упрись в 2Гб ОЗУ и посмотрим, как твоя
> огнепанда уходит в серьёзный СВОП наглухо превращая комп в кирпич.

Ну вот не поленился, из под виртуалки OpenSUSE с 2 Гб ОЗУ сравнил потребление памяти на последней ESR и последней 57й (с установленым количеством процесов в 1) на 3х тяжолых сайтах.
И разница аж 40 Мб, при не сравнимо большем быстродействии.
>  Я уже молчу о том, что например на ХР (да, на слабых
> машинах бывает ещё и такое, особенно у старичков которые за 15
> лет троху привыкли) вообще не работает FF57

Под атлон ХР оно и под пингвина не работает.

"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 21:30 
>Выставляеш 1 процес на весь браузер

не подскажете строчку в about:config?

"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено VINRARUS , 05-Янв-18 21:57 
>>Выставляеш 1 процес на весь браузер
> не подскажете строчку в about:config?

Оно ж прямо на 1й странице настроек, убери галочку с параметра "использовать рекомендуемые параметры быстродействия" и поставь там количество нужное.
У меня 6, по количеству ядер :)

"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено 21344q2q341241234234 , 08-Янв-18 15:26 
Phenom 2 с 6 ядрами?
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено meequz , 05-Янв-18 10:21 
Есть ли в природе сайты, которые могу заработать неправильно из-за отключения SharedArrayBuffer?
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 10:23 
> Есть ли в природе сайты, которые могу заработать неправильно из-за отключения SharedArrayBuffer?

Нет.

"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 15:03 
Все до единого проверил?


"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Патриарх Секты Стахеля , 05-Янв-18 15:42 
Нет.
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 13:06 
Какие-нибудь демки
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 14:47 
Вот это мы и узнаем, кто чего нагородил в своём коде.
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Kuromi , 05-Янв-18 20:32 
Нет, это в общем-то экспериментальная возможность, сделанная на будущее. Хотя отказ от нее - это все атки потеря, так как предпологалась что он даст серьезный прирост скорости WASMу и прочим технологиям будущего.
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 20:52 
у гнидоупырей, гоняющихся за условными попугаями в тестах, наплевав на безопасность, тоже серьёзный прирост был, только они теперь денежки считают, пока все остальные затыкают их дыры кодом, от которого всё будет тормозить
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 13:03 
А кто смотрел в патчи? Там тормоза включаются после проверки модели проца или без лишних размышлений?
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 17:00 
Там не тормоза врубают, там ограничили точность функции, показывающей производительность компа, что делает получение информации по этому каналу невозможным
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 15:34 
Ну что, сколько еще пару гигобайт озу нужно докупить для следующей версии? :)
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 15:54 
Нет.
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 22:19 
Творчески же надо, а не просто копипастить: 0 :).
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено _ , 07-Янв-18 23:00 
Человек прочитал книгу "100500 способов научиться говорить «нет»". А что сделали вы?
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 16:01 
FALSE (Syntax Error).
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено paulus , 05-Янв-18 17:21 
с фф 57.0.4 h.264 отвалился :(
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 17:33 
Я правильно понимаю, что
dom.enable_performance=false
решит проблему? Какова вероятность, что где-то что-то поотваливается?
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 18:27 
Какова вероятность что стадо вэб-макак за миллион лет напишет Войну и мир?
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Anonim , 07-Янв-18 02:00 
greater than zero
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 17:36 
Проект libre чо дуплит?
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Аноним , 05-Янв-18 19:02 
Ждем-с релиза Pale Moon 27.7 https://github.com/MoonchildProductions/Pale-Moon/issues/1568
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено key , 06-Янв-18 05:47 
Круто.
"Фаерфокс забивает канал при старте"
Отправлено Диалапщик , 05-Янв-18 20:24 
57 фаерфокс у меня забивает канал при старте минут на 5 (соединение очень медленное). Даже с чистым профилем на пустой странице. Причем периодически, раз в час где-то начинает забивать его снова. На 56 версии и ранее подобного не было. Все, что связано с телеметрией поотключал, версия 57.0.3. Чекал wireshark'ом, но там столько айпишников, что забанить их все не представляется возможным. Кто-нибудь знает, как с этим бороться? Спасибо.
"Фаерфокс забивает канал при старте"
Отправлено Аноним , 05-Янв-18 21:17 
быть может, миниатюрки Activity Stream прогружаются?

Страницы “Новая вкладка” и “Начальная страница” в Firefox 57 основаны на потоке активности - Activity Stream

"Фаерфокс забивает канал при старте"
Отправлено Диалапщик , 05-Янв-18 21:22 
browser.newtabpage.activity-stream.enabled = false стоит в настройках. Вроде не должны подгружаться.
"Фаерфокс забивает канал при старте"
Отправлено sdfgsdg , 05-Янв-18 21:25 
Отключи "Deceptive Content and Dangerous Software Protection" в настройках безопасности, чтобы FF не скачивал "черный список" адресов.
"Фаерфокс забивает канал при старте"
Отправлено QuAzI , 05-Янв-18 21:42 
Fiddler если ты на форточках или squid+sarge на всех
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Сергей , 05-Янв-18 22:09 
Проверил на futuremark до и после обновления до 57.0.4 - разницы нет
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено keir , 10-Янв-18 09:39 
Осталось еще чтобы в ESR пофиксили.
"Обновление Firefox 57.0.4 и Chrome 63.0.3239.132"
Отправлено Kuromi , 11-Янв-18 21:47 
Зачем? в about:config выключи dom.enable_performance и javascript.options.shared_memory