Logo nowadaytechnol.com

Softwareentwickler Sind Besorgt über Die Unbeabsichtigten Folgen Neuer Webtechnologien

Softwareentwickler Sind Besorgt über Die Unbeabsichtigten Folgen Neuer Webtechnologien
Softwareentwickler Sind Besorgt über Die Unbeabsichtigten Folgen Neuer Webtechnologien

Video: Softwareentwickler Sind Besorgt über Die Unbeabsichtigten Folgen Neuer Webtechnologien

Video: Softwareentwickler Sind Besorgt über Die Unbeabsichtigten Folgen Neuer Webtechnologien
Video: Softwareentwickler bei BREDEX - Du kannst deine Entwicklung selbst bestimmen! 2024, März
Anonim
Image
Image

Neuere Webtechnologien wie WebAssembly und Rust tragen dazu bei, die Zeit, die einige clientseitige Prozesse beim Laden von Seiten benötigen, massiv zu reduzieren. Entwickler veröffentlichen jedoch jetzt neue Informationen, die in den kommenden Wochen zu Patches für diese Anwendungsplattformen führen könnten.

Für WebAssembly sind mehrere Ergänzungen und Aktualisierungen geplant, die hypothetisch dazu führen könnten, dass einige der Meltdown- und Spectre-Angriffsminderungen unbrauchbar werden. Der von einem Forcepoint-Forscher veröffentlichte Bericht unterstellte, dass WebAssembly-Module für schändliche Zwecke verwendet werden könnten und bestimmte Arten von Timing-Angriffen aufgrund neuer Routinen, die die Plattform für Codierer zugänglicher machen sollen, tatsächlich verschlimmert werden könnten.

Timing-Angriffe sind eine Unterklasse von Seitenkanal-Exploits, mit denen Beobachter von Drittanbietern einen Blick auf verschlüsselte Daten werfen können, indem sie herausfinden, wie lange es dauert, einen kryptografischen Algorithmus auszuführen. Meltdown, Spectre und andere verwandte CPU-basierte Schwachstellen sind Beispiele für Timing-Angriffe.

Der Bericht schlägt vor, dass WebAssembly diese Berechnungen erheblich vereinfachen würde. Es wurde bereits als Angriffsvektor für die Installation von Cryptocurrency-Mining-Software ohne Erlaubnis verwendet. Dies kann auch der Ort sein, an dem neue Patches erforderlich sind, um weiteren Missbrauch zu verhindern. Dies kann bedeuten, dass Patches für diese Updates möglicherweise veröffentlicht werden müssen, nachdem sie für die meisten Benutzer freigegeben wurden.

Mozill hat versucht, das Problem der Timing-Angriffe bis zu einem gewissen Grad zu verringern, indem die Genauigkeit einiger Leistungsindikatoren verringert wurde. Durch neue Ergänzungen von WebAssembly konnte dies jedoch nicht mehr wirksam werden, da diese Updates die Ausführung von undurchsichtigem Code auf dem Computer des Benutzers ermöglichen könnten. Dieser Code könnte theoretisch zuerst in einer höheren Sprache geschrieben werden, bevor er in das WASM-Bytecode-Format neu kompiliert wird.

Das Team, das Rust entwickelt, eine Technologie, die Mozillitself gefördert hat, hat einen fünfstufigen Offenlegungsprozess sowie eine 24-Stunden-E-Mail-Bestätigung für alle Fehlerberichte eingeführt. Während ihr Sicherheitsteam im Moment recht klein zu sein scheint, ähnelt dies höchstwahrscheinlich dem Ansatz, den viele neuere Konsortien von Anwendungsplattformen bei der Behandlung dieser Art von Problemen verfolgen werden.

Endbenutzer werden wie immer aufgefordert, relevante Updates zu installieren, um das allgemeine Risiko der Entwicklung von Schwachstellen im Zusammenhang mit CPU-basierten Exploits zu verringern.

Empfohlen: