Logo no.nowadaytechnol.com

Programvareutviklere Er Bekymret For Utilsiktede Konsekvenser Av Nye Webteknologier

Programvareutviklere Er Bekymret For Utilsiktede Konsekvenser Av Nye Webteknologier
Programvareutviklere Er Bekymret For Utilsiktede Konsekvenser Av Nye Webteknologier

Video: Programvareutviklere Er Bekymret For Utilsiktede Konsekvenser Av Nye Webteknologier

Video: Programvareutviklere Er Bekymret For Utilsiktede Konsekvenser Av Nye Webteknologier
Video: Meningsløse jobber - basert på innsendte historier fra våre følgere 2024, Mars
Anonim
Image
Image

Nyere webteknologier som WebAssembly og Rust hjelper til med å redusere mengden tid det tar før noen prosesser på klientsiden er fullført når sider lastes inn, men utviklere gir nå ut ny informasjon som kan føre til oppdateringer for disse applikasjonsplattformene de neste ukene..

Flere tillegg og oppdateringer er planlagt for WebAssembly, noe som hypotetisk kan gjøre noen av Meltdown og Spectre angrepdemping ubrukelige. rapport utgitt av forsker fra Forcepoint antydet at WebAssembly-moduler kunne brukes til skjemmende formål, og visse typer tidsangrep kan faktisk bli verre på grunn av nye rutiner som er ment å gjøre plattformen mer tilgjengelig for kodere.

Tidsangrep er underklasse av sidekanalutnyttelser som gjør det mulig for tredjeparter å observere kryptert datafor å finne ut hvor lang tid det tar å utføre kryptografisk algoritme. Meltdown, Spectre og andre relaterte CPU-baserte sårbarheter er alle eksempler på tidsangrep.

Rapporten antyder at WebAssembly ville gjøre disse beregningene mye enklere. Den har allerede blitt brukt som en angrepsvektor for å installere kryptovaluta-gruvedrift uten tillatelse, og dette kan også være et sted der nye oppdateringer vil være nødvendige for å forhindre ytterligere misbruk. Dette kan bety at oppdateringer for disse oppdateringene må komme ut etter at de er utgitt til flertallet av brukerne.

Mozillhas har forsøkt å dempe problemet med tidsangrep i noen grad ved å skru ned presisjonen til noen ytelsestellere, men nye tillegg til WebAssembly kan gjøre dette ikke lenger effektivt siden disse oppdateringene kan tillate ugjennomsiktig kode å kjøre på brukerens maskin. Denne koden kan teoretisk sett bli skrevet på høyere nivå først før den blir kompilert på nytt til WASM bytecode-format.

Teamet som utvikler Rust, teknologien Mozillitself har promotert, har introdusert fem-trinns avsløringsprosess samt 24-timers e-postbekreftelser for alle feilrapporter. Selv om sikkerhetsteamet deres ser ut til å være ganske lite for øyeblikket, er dette mer enn sannsynlig noe som ligner den tilnærmingen som mange nyere applikasjonsplattformkonsulenter tar når de håndterer slike problemer.

Sluttbrukere oppfordres som alltid å installere relevante oppdateringer for å redusere den samlede risikoen for å utvikle sårbarheter knyttet til CPU-baserte utnyttelser.

Anbefalt: