Các nhà phát triển phần mềm lo ngại về những hậu quả không mong muốn của các công nghệ web mới

Tin Tức
Bảo vệ / Các nhà phát triển phần mềm lo ngại về những hậu quả không mong muốn của các công nghệ web mới 2 phút đọc

QUÊN



Các công nghệ web mới hơn như WebAssembly và Rust đang giúp giảm đáng kể thời gian cần thiết để một số quy trình phía máy khách hoàn thành khi tải trang, nhưng các nhà phát triển hiện đang phát hành thông tin mới có thể dẫn đến các bản vá cho các nền tảng ứng dụng này trong những tuần tới .

bạn không thể xóa tệp dữ liệu triển vọng này

Một số bổ sung và cập nhật được lên kế hoạch cho WebAssembly, theo giả thuyết có thể khiến một số biện pháp giảm thiểu cuộc tấn công Meltdown và Spectre trở nên vô dụng. Một báo cáo được đưa ra bởi một nhà nghiên cứu từ Forcepoint đã nhấn mạnh rằng các mô-đun WebAssembly có thể được sử dụng cho các mục đích bất chính và một số loại tấn công định thời có thể thực sự trở nên tồi tệ hơn do các quy trình mới nhằm làm cho nền tảng dễ truy cập hơn cho người lập trình.



Các cuộc tấn công theo thời gian là một lớp con của các khai thác kênh bên cho phép quan sát viên của bên thứ ba xem xét dữ liệu được mã hóa bằng cách tìm ra thời gian thực thi một thuật toán mật mã. Meltdown, Spectre và các lỗ hổng dựa trên CPU có liên quan khác đều là những ví dụ về các cuộc tấn công định thời.



Báo cáo cho thấy rằng WebAssembly sẽ làm cho những tính toán này dễ dàng hơn nhiều. Nó đã được sử dụng như một vectơ tấn công để cài đặt phần mềm khai thác tiền điện tử mà không được phép và đây cũng có thể là một lĩnh vực mà các bản vá mới sẽ được yêu cầu để ngăn chặn việc lạm dụng thêm. Điều này có nghĩa là các bản vá cho các bản cập nhật này có thể phải được đưa ra sau khi chúng được phát hành cho đa số người dùng.



Mozilla đã cố gắng giảm thiểu vấn đề về thời gian tấn công ở một mức độ nào đó bằng cách giảm độ chính xác của một số bộ đếm hiệu suất, nhưng những bổ sung mới cho WebAssembly có thể khiến điều này không còn hiệu quả vì những bản cập nhật này có thể cho phép mã mờ thực thi trên máy của người dùng. Về lý thuyết, mã này có thể được viết bằng ngôn ngữ cấp cao hơn trước khi được biên dịch lại thành định dạng mã bytecode WASM.

fallout 4 thêm điểm đặc quyền

Nhóm phát triển Rust, một công nghệ mà chính Mozilla đã quảng bá, đã giới thiệu quy trình tiết lộ năm bước cũng như xác nhận qua email 24 giờ cho tất cả các báo cáo lỗi. Mặc dù đội ngũ bảo mật của họ hiện tại có vẻ khá nhỏ, nhưng điều này có nhiều khả năng hơi giống với cách tiếp cận mà nhiều liên minh nền tảng ứng dụng mới hơn sẽ áp dụng khi giải quyết các loại vấn đề này.

Người dùng cuối luôn được khuyến khích cài đặt các bản cập nhật có liên quan để giảm nguy cơ phát triển các lỗ hổng bảo mật liên quan đến việc khai thác dựa trên CPU.



Thẻ bảo mật web