AIZMIRSTI
Jaunākas tīmekļa tehnoloģijas, piemēram, WebAssembly un Rust, palīdz ievērojami samazināt laiku, kas nepieciešams dažu klientu puses procesu pabeigšanai, ielādējot lapas, taču izstrādātāji tagad izlaiž jaunu informāciju, kas tuvāko nedēļu laikā varētu radīt šo lietojumprogrammu platformu ielāpus. .
WebAssembly ir plānoti vairāki papildinājumi un atjauninājumi, kas hipotētiski varētu padarīt dažus Meltdown un Spectre uzbrukuma mazināšanas gadījumus bezjēdzīgus. Forcepoint pētnieka sagatavotajā ziņojumā tika apgalvots, ka WebAssembly moduļus var izmantot ļaunprātīgiem mērķiem, un dažu veidu laika uzbrukumu veidi var pasliktināties jaunu rutīnu dēļ, kuru mērķis ir padarīt platformu pieejamāku kodētājiem.
Laika uzbrukumi ir sānu kanālu izmantošanas apakšklase, kas ļauj trešās puses novērotājiem palūrēt šifrētus datus, noskaidrojot, cik ilgs laiks nepieciešams kriptogrāfiskā algoritma izpildei. Meltdown, Spectre un citas ar CPU saistītas ievainojamības ir visi laika uzbrukumu piemēri.
Ziņojumā teikts, ka WebAssembly šo aprēķinu padarītu daudz vieglāku. Tas jau ir izmantots kā uzbrukuma vektors kriptonauda ieguves programmatūras instalēšanai bez atļaujas, un tā varētu būt arī joma, kurā būs nepieciešami jauni ielāpi, lai novērstu turpmāku ļaunprātīgu izmantošanu. Tas varētu nozīmēt, ka šo atjauninājumu ielāpi var nākties parādīties pēc to izlaišanas lielākajai daļai lietotāju.
Mozilla ir mēģinājusi zināmā mērā mazināt uzbrukumu laika noteikšanas problēmu, noraidot dažu veiktspējas skaitītāju precizitāti, taču jauni WebAssemble papildinājumi to varētu padarīt vairs neefektīvu, jo šie atjauninājumi ļaus necaurspīdīgam kodam izpildīt lietotāja mašīnā. Šis kods teorētiski vispirms varētu tikt uzrakstīts augstāka līmeņa valodā, pirms tas tiek pārkompilēts WASM baitkoda formātā.
Komanda, kas izstrādā tehnoloģiju Rust, tehnoloģiju, kuru pati Mozilla ir veicinājusi, ir ieviesusi piecu posmu izpaušanas procesu, kā arī 24 stundu apstiprinājumus pa e-pastu visiem kļūdu ziņojumiem. Lai gan viņu drošības komanda šobrīd šķiet diezgan maza, tas vairāk nekā iespējams ir nedaudz līdzīgs pieejai, kādu izmantos daudzi jaunāku lietojumprogrammu platformu konsorciji, risinot šāda veida jautājumus.
Galalietotāji tiek aicināti, kā vienmēr, instalēt attiecīgus atjauninājumus, lai samazinātu kopējo risku, ka varētu rasties ievainojamība, kas saistīta ar procesoriem.
Tagi tīmekļa drošība
