アカウント名:
パスワード:
広告度外視すればサードパーティドメインをデフォルトで弾くだけで済む話じゃないかなファーストパーティで仕込まれてたらそのサーバーがハックされているのでそもそもクライアントから盗むまでもないしアプリだったら悪質アプリつかんだ自業自得か身売り審査できなかったストアの性だし
# 実際問題あらゆるサイドチャネル攻撃を防ぐ実装って失敗した日本的完璧さ的な無常を感じる
ちゅーか、JavaScriptで精密な時間が計れてしまうのが原因だよねコレ。Appleがちょっとソフト弄ってJSから読める時計の精度落とせば良いだけでは…。たしかChromeとかそんな実装になってたような。
※それ以外のサイドチャネル攻撃って物理的に外部から読み取ったりしないと上手く行かない気がするが。
こういう脆弱性の利用で使われるのが主にJSだからuMatrixで一旦JSを全部ブロックして、期待した動作にならない場合だけ一つずつスクリプトオンにしてるわ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
実装とサイト次第 (スコア:0)
広告度外視すればサードパーティドメインをデフォルトで弾くだけで済む話じゃないかな
ファーストパーティで仕込まれてたらそのサーバーがハックされているのでそもそもクライアントから盗むまでもないし
アプリだったら悪質アプリつかんだ自業自得か身売り審査できなかったストアの性だし
# 実際問題あらゆるサイドチャネル攻撃を防ぐ実装って失敗した日本的完璧さ的な無常を感じる
Re: (スコア:0)
ちゅーか、JavaScriptで精密な時間が計れてしまうのが原因だよねコレ。
Appleがちょっとソフト弄ってJSから読める時計の精度落とせば良いだけでは…。
たしかChromeとかそんな実装になってたような。
※それ以外のサイドチャネル攻撃って物理的に外部から読み取ったりしないと上手く行かない気がするが。
Re:実装とサイト次第 (スコア:0)
こういう脆弱性の利用で使われるのが主にJSだから
uMatrixで一旦JSを全部ブロックして、期待した動作にならない場合だけ一つずつスクリプトオンにしてるわ