UNUSTADA
Uuemad veebitehnoloogiad, nagu WebAssembly ja Rust, aitavad oluliselt vähendada ajakulu, mis kulub mõnel kliendipoolsel protsessil lehtede laadimisel, kuid arendajad avaldavad nüüd uut teavet, mis võib lähinädalatel kaasa tuua nende rakenduste platvormide parandamise .
Veebiassambleele on kavandatud mitmeid täiendusi ja värskendusi, mis võivad hüpoteetiliselt muuta mõned Meltdowni ja Spectre rünnaku leevendused kasutuks. Forcepointi teadlase koostatud aruanne kinnitas, et WebAss Assembly mooduleid võib kasutada alatutel eesmärkidel ja teatud tüüpi ajastusrünnakud võivad tõsisemaks muutuda uute rutiinide tõttu, mille eesmärk on muuta platvorm kooderitele kättesaadavamaks.
Ajastusrünnakud on kõrvalkanalite ärakasutamise alamklass, mis võimaldab kolmandatel osapooltel vaatlusel krüptitud andmeid piiluda, selgitades välja, kui kaua krüptograafilise algoritmi käivitamine võtab. Meltdown, Spectre ja muud sellega seotud protsessoripõhised haavatavused on kõik ajarünnakute näited.
Aruandes soovitatakse, et WebAssembly muudaks need arvutused palju lihtsamaks. Seda on juba kasutatud ründevektorina krüptoraha kaevandamise tarkvara ilma loata installimiseks ja see võib olla ka ala, kus edasise kuritarvitamise vältimiseks on vaja uusi plaastreid. See võib tähendada, et nende värskenduste plaastrid võivad tulla välja pärast seda, kui need on enamusele kasutajatele välja antud.
Mozilla on püüdnud teatud aja jooksul rünnakute ajastamise probleemi leevendada, lükates mõne jõudlusloenduri täpsuse tagasi, kuid WebAssembleeni uued täiendused võivad muuta selle enam efektiivseks, kuna need värskendused võivad lubada läbipaistmatut koodi kasutaja arvutis käivitada. See kood võiks teoreetiliselt kõigepealt kirjutada kõrgema taseme keeles, enne kui see kompileeritakse uuesti WASM-i baidekoodivormingusse.
Meeskond, kes arendab tehnoloogiat Rust, tehnoloogiat, mida Mozilla ise on propageerinud, on kõigi veateadete jaoks kasutusele võtnud viis sammu avalikustamise protsessi ja 24-tunnise e-posti aadressi kinnituse. Kuigi nende turvameeskond näib olevat praegu üsna väike, sarnaneb see enam-vähem tõenäoliselt lähenemisviisiga, mida paljud uuemad rakendusplatvormide konsortsiumid seda tüüpi probleemide lahendamisel kasutavad.
Lõppkasutajatel palutakse nagu alati installida asjakohased värskendused, et vähendada protsessoripõhiste kasutustega seotud haavatavuste tekkimise üldist riski.
Sildid veebiturvalisus
