アカウント名:
パスワード:
広告度外視すればサードパーティドメインをデフォルトで弾くだけで済む話じゃないかなファーストパーティで仕込まれてたらそのサーバーがハックされているのでそもそもクライアントから盗むまでもないしアプリだったら悪質アプリつかんだ自業自得か身売り審査できなかったストアの性だし
# 実際問題あらゆるサイドチャネル攻撃を防ぐ実装って失敗した日本的完璧さ的な無常を感じる
ちゅーか、JavaScriptで精密な時間が計れてしまうのが原因だよねコレ。Appleがちょっとソフト弄ってJSから読める時計の精度落とせば良いだけでは…。たしかChromeとかそんな実装になってたような。
※それ以外のサイドチャネル攻撃って物理的に外部から読み取ったりしないと上手く行かない気がするが。
今回の攻撃は、高精度なタイマーを使用しない方式らしい。「Browser-based Timerless」とのこと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
実装とサイト次第 (スコア:0)
広告度外視すればサードパーティドメインをデフォルトで弾くだけで済む話じゃないかな
ファーストパーティで仕込まれてたらそのサーバーがハックされているのでそもそもクライアントから盗むまでもないし
アプリだったら悪質アプリつかんだ自業自得か身売り審査できなかったストアの性だし
# 実際問題あらゆるサイドチャネル攻撃を防ぐ実装って失敗した日本的完璧さ的な無常を感じる
Re: (スコア:0)
ちゅーか、JavaScriptで精密な時間が計れてしまうのが原因だよねコレ。
Appleがちょっとソフト弄ってJSから読める時計の精度落とせば良いだけでは…。
たしかChromeとかそんな実装になってたような。
※それ以外のサイドチャネル攻撃って物理的に外部から読み取ったりしないと上手く行かない気がするが。
Re:実装とサイト次第 (スコア:0)
今回の攻撃は、高精度なタイマーを使用しない方式らしい。
「Browser-based Timerless」とのこと。