Názor k článku Nový vývoj kolem Spectre a Meltdown a naštvaný Linus Torvalds od Heron - Problém vznikl tím, že to doposud nikoho nenapadlo. Tak...

Problém vznikl tím, že to doposud nikoho nenapadlo.

Tak s tím si tedy dovolím zásadně nesouhlasit. Ne, že by snad někdo dopředu znal tuhle konkrétní chybu, ale třídy problémů podobného typu jsou známy docela docela dlouho a obecný způsob ochrany taky.

To mi v podstatě dovoluje použít argument, který jsem psal už mnokrát. Za desítky let se v OS podařilo vybudovat poměrně slušnou a bezpečnou platformu pro běh programů, jejich vzájemné oddělení (na mnoha úrovních), vyřešit práva k datům apod. Všechno máme, v podstatě dnes můžeme mít každý program ve svém vlastním izolovaném prostředí. Řeší se, jak mají být podepsané balíčky a dokonce i věci jako reproducible builds.

Do toho vlezly "prohlížeče" internetu (dneska by se spíše slušelo psát: univerzální spouštěče), které ochotně spustí libovolný kód, který jim z libovolného zdroje přijde po protokolu. Tím se desítky let práce na bezpečnosti OS v podstatě zahodí a místo toho se řeší, jak web v jednom tabu oddělit od webu ve druhém tabu (tj v jednom procesu, max. mezi dvěma vlákny). A ještě jim dát přímý přístup k HW... S takovou se na nějaké podpisy balíčků můžeme fakt... víte co.

Jako já si klidně dovedu představit, že po každé takové chybě se projedou všechny balíčky v repositáři a případně se zrekompilují tak, aby tato chyba nebyla zneužitelná. Tím se dá výrobci HW čas, aby tu chybu vyřešil. Ostatně takto se to dělalo i v minulosti, hw bugy některých cpu se obcházely v kompilátoru a dané vadné instrukce se prostě nepoužívaly.

Ne, dneska máme stav, když máme sice super bezpečný os, ale stejně si ochotně spouštíme náhodné programy z náhodných zdrojů v "prohlížeči".