アカウント名:
パスワード:
Firefox では Bug 147777 [mozilla.org] で対応済みのはずの問題ですが、今更話題になるということは、何か抜け道があったということでしょうか。時間計測攻撃は最初から、 SVG filter を使う話はたぶん 2008 年に出ています。どっちも 2010 年の時点で対応済みのはずなのですが。
それはCSSの色設定を取得する手法で、今回のは、描画時間を計測する手法とのことで、異なる手法を用いていることになりますが、CSS問題のときに、今回の問題も対応されているはずだということでしょうか。
リンク色についても(描画時間に違いが出る可能性のある)透明度の変更は認めないなど、タイミング攻撃対策は行なっていないわけではないのですが、履歴へのアクセス時間の差異はかなりどうしようもない感じがしますね。
ってか当のバグに「タイミング攻撃問題は未解決だよ」って書いてあった。 https://bugzilla.mozilla.org/show_bug.cgi?id=147777#c294 [mozilla.org] 関連してそうなバグが未解決なことからも解決の困難さがうかがえる。 https://bugzilla.mozilla.org/show_bug.cgi?id=557579 [mozilla.org]
ランダムに遅延入れても人間相手なので問題無いとおもいますが、そんな単純な事じゃないっていうことでしょうか?
単純にランダムな遅延を入れただけでは、多数のデータの統計を取ると、結局ノイズから信号が浮かび上がってきますよ。もちろん困難さは増加するので、ちょっとした緩和策としてはいいのですが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
抜け道? (スコア:2)
Firefox では Bug 147777 [mozilla.org] で対応済みのはずの問題ですが、今更話題になるということは、何か抜け道があったということでしょうか。時間計測攻撃は最初から、 SVG filter を使う話はたぶん 2008 年に出ています。どっちも 2010 年の時点で対応済みのはずなのですが。
Re: (スコア:0)
それはCSSの色設定を取得する手法で、今回のは、描画時間を計測する手法とのことで、異なる手法を用いていることになりますが、CSS問題のときに、今回の問題も対応されているはずだということでしょうか。
Re: (スコア:0)
リンク色についても(描画時間に違いが出る可能性のある)透明度の変更は認めないなど、タイミング攻撃対策は行なっていないわけではないのですが、履歴へのアクセス時間の差異はかなりどうしようもない感じがしますね。
Re: (スコア:4, 参考になる)
ってか当のバグに「タイミング攻撃問題は未解決だよ」って書いてあった。
https://bugzilla.mozilla.org/show_bug.cgi?id=147777#c294 [mozilla.org]
関連してそうなバグが未解決なことからも解決の困難さがうかがえる。
https://bugzilla.mozilla.org/show_bug.cgi?id=557579 [mozilla.org]
Re: (スコア:0)
ランダムに遅延入れても人間相手なので問題無いとおもいますが、そんな単純な事じゃないっていうことでしょうか?
Re:抜け道? (スコア:0)
単純にランダムな遅延を入れただけでは、多数のデータの統計を取ると、結局ノイズから信号が浮かび上がってきますよ。
もちろん困難さは増加するので、ちょっとした緩和策としてはいいのですが。