作者t7yang (t7: 攻城蝨)
看板Browsers
標題[新聞] 套件漏洞可能導致資料外洩或用戶曝光
時間Tue Aug 29 17:18:33 2017
來源:
http://www.ithome.com.tw/news/116500
瀏覽器擴充漏洞可能導致資料外洩或用戶曝光,Firefox、Chrome與Safari都受影響
引用的論文是8月的一篇proceeding,看起來是滿新的
這裡稍微節錄部分內容:
發動計時旁路攻擊(timing side-channel)
...
而這種技倆可以繞過所有主要瀏覽器的防護,包括Safari、Chrominum系列的瀏覽器
如Chrome、Opera、Yandex、Comodo Dragon及舊版Firefox等。
這裡談到的舊版Firefox是指非WebExtension的Firefox版本,其實也不完全算舊版
因為當前的Firefox仍可運作舊套件的架構而且
Surprisingly, non-WebExtensions in Firefox suffer
from a different bug that makes even easier to detect the
installed extensions.
看起來現有的架構也挺危險的。
雖然這件事情大家都中招,但是有一點值得反思的是,如果這個市場都是GC的佔領
所有所謂其他的瀏覽器也只是 chromium 的二創,那只要有問題就是大家一起死
而且你沒有其他選擇。保持多元性是相當重要的。
論文裡面還有其他問題,也可以去關注一下。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.113.38.77
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Browsers/M.1503998317.A.789.html
1F:推 zhtw: Chromium修安全漏洞蠻快的 應該還好ㄅ0.0 08/29 17:37
2F:噓 brli7848: 人家在講架構多元選擇,你在那邊修洞快速…zZZ 08/29 17:41
3F:推 Kenqr: 一家獨大基本上都沒好事 安全性只是其中一個考量 08/29 18:31
4F:推 zhtw: 好氣好氣XDDD 雖然一家獨大不好,但現在就是一家獨大阿 08/29 19:38
5F:→ zhtw: 小廠商依附Google沒什麼錯 核心安全性交給Chromium團隊的話 08/29 19:39
6F:→ zhtw: 會比自己做一個核心維護更為安全 08/29 19:39
7F:→ zhtw: Net Market Share的資料來看 Chrome的市佔率59.57% 08/29 19:40
8F:→ zhtw: IE 16.5% Fx12.3% 目前有能力維護自己核心的就那幾間 08/29 19:42
9F:→ zhtw: Google做的比較好,小廠商只好做Chromium殼瀏覽器啦 08/29 19:45
10F:→ zhtw: 之前問過七星開發者為什麼選擇Chromium基底 他回答較好維護 08/29 19:49
11F:→ zhtw: 所以Chrome家族一家獨大不是沒有原因的 08/29 19:51
12F:→ zhtw: 想多元 其實現在也只有Chromium跟Fx基底 能多元到哪我很懷疑 08/29 19:54
13F:→ t7yang: 天下合久必分,分久必合,讓我們繼續看下去 08/29 20:31
14F:推 menshuei: 我是認為edge也很不錯。不過瀏覽器對大部份的人只是展現 08/29 20:51
15F:→ menshuei: 內容的工具,品牌是什麼差不多吧。 08/29 20:51
16F:推 twtwch: edge能改字體嗎 現在網站越來越多用正黑體。看了頭痛 08/30 11:36
17F:推 kaoh08: 宅宅相輕 合久必分 看看最近的node.js 08/30 12:37