ننسى
تساعد تقنيات الويب الأحدث مثل WebAssembly و Rust في تقليل مقدار الوقت الذي تستغرقه بعض العمليات من جانب العميل لإكمالها عند تحميل الصفحات بشكل كبير ، ولكن المطورين الآن يطلقون معلومات جديدة قد تؤدي إلى تصحيحات لمنصات التطبيقات هذه في الأسابيع المقبلة .
تم التخطيط للعديد من الإضافات والتحديثات لـ WebAssembly ، والتي قد تؤدي افتراضيًا إلى جعل بعض عمليات تخفيف هجوم Meltdown و Specter عديمة الفائدة. أشار تقرير صادر عن باحث من Forcepoint إلى أنه يمكن استخدام وحدات WebAssembly لأغراض شائنة وأن أنواعًا معينة من هجمات التوقيت قد تزداد سوءًا بسبب الإجراءات الروتينية الجديدة التي تهدف إلى جعل النظام الأساسي أكثر سهولة للمبرمجين.
هجمات التوقيت هي فئة فرعية من عمليات استغلال القناة الجانبية التي تسمح لطرف ثالث بالمراقبة بإلقاء نظرة خاطفة على البيانات المشفرة من خلال معرفة المدة التي يستغرقها تنفيذ خوارزمية تشفير. يعد كل من Meltdown و Specter ونقاط الضعف الأخرى المرتبطة بوحدة المعالجة المركزية أمثلة على هجمات التوقيت.
يقترح التقرير أن WebAssembly من شأنه أن يجعل هذه الحسابات أسهل بكثير. لقد تم استخدامه بالفعل كمتجه هجوم لتثبيت برامج تعدين العملات المشفرة دون إذن ، وقد يكون هذا أيضًا مجالًا حيث ستكون هناك حاجة إلى تصحيحات جديدة لمنع المزيد من إساءة الاستخدام. قد يعني هذا أن تصحيحات هذه التحديثات قد تضطر إلى الظهور بعد إصدارها لغالبية المستخدمين.
حاولت Mozilla التخفيف من مشكلة هجمات التوقيت إلى حد ما عن طريق تقليل دقة بعض عدادات الأداء ، ولكن الإضافات الجديدة إلى WebAssembly يمكن أن تجعل هذا الأمر غير فعال لأن هذه التحديثات قد تسمح بتنفيذ تعليمات برمجية غير شفافة على جهاز المستخدم. يمكن كتابة هذا الرمز نظريًا بلغة ذات مستوى أعلى أولاً قبل إعادة تحويله إلى تنسيق WASM bytecode.
قدم الفريق الذي طور Rust ، وهي تقنية روجت لها Mozilla نفسها ، عملية إفصاح من خمس خطوات بالإضافة إلى إقرارات بالبريد الإلكتروني على مدار 24 ساعة لجميع تقارير الأخطاء. على الرغم من أن فريق الأمان الخاص بهم يبدو صغيرًا جدًا في الوقت الحالي ، إلا أن هذا يشبه إلى حد ما على الأرجح النهج الذي ستتخذه العديد من اتحادات منصات التطبيقات الجديدة عند التعامل مع هذه الأنواع من المشكلات.
يتم حث المستخدمين النهائيين ، كما هو الحال دائمًا ، على تثبيت التحديثات ذات الصلة من أجل تقليل المخاطر الإجمالية لتطوير الثغرات الأمنية المتعلقة بالاستغلال القائم على وحدة المعالجة المركزية.
العلامات أمن الويب
