作者t7yang (t7: 攻城蝨)
看板Browsers
标题[新闻] 套件漏洞可能导致资料外泄或用户曝光
时间Tue Aug 29 17:18:33 2017
来源:
http://www.ithome.com.tw/news/116500
浏览器扩充漏洞可能导致资料外泄或用户曝光,Firefox、Chrome与Safari都受影响
引用的论文是8月的一篇proceeding,看起来是满新的
这里稍微节录部分内容:
发动计时旁路攻击(timing side-channel)
...
而这种技俩可以绕过所有主要浏览器的防护,包括Safari、Chrominum系列的浏览器
如Chrome、Opera、Yandex、Comodo Dragon及旧版Firefox等。
这里谈到的旧版Firefox是指非WebExtension的Firefox版本,其实也不完全算旧版
因为当前的Firefox仍可运作旧套件的架构而且
Surprisingly, non-WebExtensions in Firefox suffer
from a different bug that makes even easier to detect the
installed extensions.
看起来现有的架构也挺危险的。
虽然这件事情大家都中招,但是有一点值得反思的是,如果这个市场都是GC的占领
所有所谓其他的浏览器也只是 chromium 的二创,那只要有问题就是大家一起死
而且你没有其他选择。保持多元性是相当重要的。
论文里面还有其他问题,也可以去关注一下。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 140.113.38.77
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Browsers/M.1503998317.A.789.html
1F:推 zhtw: Chromium修安全漏洞蛮快的 应该还好ㄅ0.0 08/29 17:37
2F:嘘 brli7848: 人家在讲架构多元选择,你在那边修洞快速…zZZ 08/29 17:41
3F:推 Kenqr: 一家独大基本上都没好事 安全性只是其中一个考量 08/29 18:31
4F:推 zhtw: 好气好气XDDD 虽然一家独大不好,但现在就是一家独大阿 08/29 19:38
5F:→ zhtw: 小厂商依附Google没什麽错 核心安全性交给Chromium团队的话 08/29 19:39
6F:→ zhtw: 会比自己做一个核心维护更为安全 08/29 19:39
7F:→ zhtw: Net Market Share的资料来看 Chrome的市占率59.57% 08/29 19:40
8F:→ zhtw: IE 16.5% Fx12.3% 目前有能力维护自己核心的就那几间 08/29 19:42
9F:→ zhtw: Google做的比较好,小厂商只好做Chromium壳浏览器啦 08/29 19:45
10F:→ zhtw: 之前问过七星开发者为什麽选择Chromium基底 他回答较好维护 08/29 19:49
11F:→ zhtw: 所以Chrome家族一家独大不是没有原因的 08/29 19:51
12F:→ zhtw: 想多元 其实现在也只有Chromium跟Fx基底 能多元到哪我很怀疑 08/29 19:54
13F:→ t7yang: 天下合久必分,分久必合,让我们继续看下去 08/29 20:31
14F:推 menshuei: 我是认为edge也很不错。不过浏览器对大部份的人只是展现 08/29 20:51
15F:→ menshuei: 内容的工具,品牌是什麽差不多吧。 08/29 20:51
16F:推 twtwch: edge能改字体吗 现在网站越来越多用正黑体。看了头痛 08/30 11:36
17F:推 kaoh08: 宅宅相轻 合久必分 看看最近的node.js 08/30 12:37