Hello,
Je n'aimerais vraiment pas avoir à entendre un jour qu'un-e de mes proches s'est retrouvée exposé-e personnellement à cause d'un-e sysadmin qui a désactivé des protections pourtant critiques, tout cela pour économiser quelques cycles CPU...
C'est pour ça que sur mes serveurs de stockage (par exemple), ou de databases (autre exemple), je désactive tout ça
Si pour le stockage je ne peux qu'approuver, pour les databases, je ne sais pas trop.
Je n'aimerais vraiment pas avoir à entendre un jour qu'un de mes proches s'est retrouvé exposé personnellement à cause d'un sysadmin qui a désactivé des protections pourtant critiques, tout cela pour économiser quelques cycles CPU...
Disons que trop de protections deviens très vite contre productif. C'est comme les gens qui mettent 3 couches de firewalls, et qui a la fin prennent 3 mois a comprendre pourquoi cette foutu règle de ne marche pas... (a cause du firewall transparent entre les 2 autres).
Il y a clairement 2 type de x86 : - ceux qui se prennent le traffic dans la tronche : reverse proxy / serv php / firewall (routeurs) - ceux qui sont loiiiiin derrière ceux là souvent dans des reseaux fermés et/ou avec des VRF / netns différents qui eux n'ont pas besoin des ces protections orienté HT, car elles sont désactivées et le CPU n'as vraiment pas que ça à foutre de vérifier des choses, car il doit calculer des checksums tout le temps et balancer de data sur le wire.
Dans le second cas, ces protections -> benne. Un moment la réponse il faut prendre un proco plus puissant pour gérer des protections, ça passe plus dans le bureau du responsable financier... Même si le risque est là, il faut le prendre... (comme celui d'avoir un accident dans ton moyen de transport favori pour aller au travail).
Ceci n'est que mon expérience perso et mon point de vu. Loin de là de l'imposer.
Xavier