アカウント名:
パスワード:
広告度外視すればサードパーティドメインをデフォルトで弾くだけで済む話じゃないかなファーストパーティで仕込まれてたらそのサーバーがハックされているのでそもそもクライアントから盗むまでもないしアプリだったら悪質アプリつかんだ自業自得か身売り審査できなかったストアの性だし
# 実際問題あらゆるサイドチャネル攻撃を防ぐ実装って失敗した日本的完璧さ的な無常を感じる
ちゅーか、JavaScriptで精密な時間が計れてしまうのが原因だよねコレ。Appleがちょっとソフト弄ってJSから読める時計の精度落とせば良いだけでは…。たしかChromeとかそんな実装になってたような。
※それ以外のサイドチャネル攻撃って物理的に外部から読み取ったりしないと上手く行かない気がするが。
こういう脆弱性の利用で使われるのが主にJSだからuMatrixで一旦JSを全部ブロックして、期待した動作にならない場合だけ一つずつスクリプトオンにしてるわ
今回の攻撃は、高精度なタイマーを使用しない方式らしい。「Browser-based Timerless」とのこと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
実装とサイト次第 (スコア:0)
広告度外視すればサードパーティドメインをデフォルトで弾くだけで済む話じゃないかな
ファーストパーティで仕込まれてたらそのサーバーがハックされているのでそもそもクライアントから盗むまでもないし
アプリだったら悪質アプリつかんだ自業自得か身売り審査できなかったストアの性だし
# 実際問題あらゆるサイドチャネル攻撃を防ぐ実装って失敗した日本的完璧さ的な無常を感じる
Re:実装とサイト次第 (スコア:0)
ちゅーか、JavaScriptで精密な時間が計れてしまうのが原因だよねコレ。
Appleがちょっとソフト弄ってJSから読める時計の精度落とせば良いだけでは…。
たしかChromeとかそんな実装になってたような。
※それ以外のサイドチャネル攻撃って物理的に外部から読み取ったりしないと上手く行かない気がするが。
Re: (スコア:0)
こういう脆弱性の利用で使われるのが主にJSだから
uMatrixで一旦JSを全部ブロックして、期待した動作にならない場合だけ一つずつスクリプトオンにしてるわ
Re: (スコア:0)
今回の攻撃は、高精度なタイマーを使用しない方式らしい。
「Browser-based Timerless」とのこと。