WebAssembly 新标准可能导致幽灵熔断修复程序无效

栏目: IT资讯 · 发布时间: 6年前

内容简介:据 Forcepoint 的安全研究员 John Bergbom 称,即将增加的 WebAssembly 标准可能会使浏览器级别的一些针对 Meltdown 和 Specter 的修复程序无用。 WebAssembly(WA 或 WASM)目前支持所有主流浏览器,如 Chrome,...

据 Forcepoint 的安全研究员 John Bergbom 称,即将增加的 WebAssembly 标准可能会使浏览器级别的一些针对 Meltdown 和 Specter 的修复程序无用。 WebAssembly(WA 或 WASM)目前支持所有主流浏览器,如 Chrome,Edge,Firefox 和 Safari。

该技术是一种二进制语言,浏览器将转换成机器码并直接在 CPU 上运行。浏览器制造商创建 WebAssembly 以提高 JavaScript 代码的交付速度和性能,他们还为开发人员创建了一种移植方法,可将来自其他高级语言( 如C,C++ 和其他)的代码移植到 WASM ,然后在浏览器中运行它。

总而言之,WebAssembly 标准在网络开发社区中被视为成功的标准,并且一直在为其提供赞誉。

WebAssembly 新标准可能导致幽灵熔断修复程序无效

但是像所有的技术一样,它也带来了一些无法预料的小麻烦和滥用案例。 对于初学者来说,浏览器内的加密货币矿工(cryptojacking 脚本)的兴起可以追溯到主要浏览器中添加 WebAssembly,因为所有浏览器中的矿工都运行在 WebAssembly 之上,而不是纯粹的 JavaScript。

现在,Bergbom 认为,WebAssembly 还会给 Web 用户带来另一个小麻烦:

一旦 WA 获得对共享内存线程的支持(这已经在 WA 路线图上),可以创建非常准确的[JavaScript]定时器,这可能会导致浏览器缓解某些 CPU 端通道攻击失效。

在这份声明中,Bergbom 更准确地提到了“定时攻击”,这是一类旁路攻击。定时攻击是一类密码攻击,第三方观察者可以通过记录和分析执行加密算法所花费的时间来推断加密数据的内容。

最近披露的 Meltdown 和 Spectre CPU 漏洞以及它们的许多变化都是其核心的定时攻击。他们依赖攻击者测量精确时间间隔的能力,这是执行侧向通道攻击所需的参数,并从加密的数据块中恢复足够的信息以确定其余部分。 

编译自:BleepingComputer


【声明】文章转载自:开源中国社区 [http://www.oschina.net]


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

智能优化方法

智能优化方法

汪定伟 / 2007-4 / 37.10元

《智能优化方法》主要介绍近年来产生发展的多种智能优化算法。包括为人熟知的遗传算法、禁忌搜索算法、模拟退火算法和蚁群优化算法;近年来已成为研究热点的粒子群优化算法;还有尚待普及的捕食搜索算法和动态环境下的进化计算。书中讨论这些算法的产生和发展、算法的基本思想和理论、基本构成、计算步骤和主要的变形以及数值例子和实际应用。为了方便读者学习,各章之后还附有精选的习题、思考题及相关的参考文献。 本教材......一起来看看 《智能优化方法》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器