パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Webブラウザの閲覧履歴や閲覧中のサイトのソースコードを盗む新手法」記事へのコメント

  • Firefox では Bug 147777 [mozilla.org] で対応済みのはずの問題ですが、今更話題になるということは、何か抜け道があったということでしょうか。時間計測攻撃は最初から、 SVG filter を使う話はたぶん 2008 年に出ています。どっちも 2010 年の時点で対応済みのはずなのですが。

    • by Anonymous Coward

      それはCSSの色設定を取得する手法で、今回のは、描画時間を計測する手法とのことで、異なる手法を用いていることになりますが、CSS問題のときに、今回の問題も対応されているはずだということでしょうか。

      • by Anonymous Coward

        リンク色についても(描画時間に違いが出る可能性のある)透明度の変更は認めないなど、タイミング攻撃対策は行なっていないわけではないのですが、履歴へのアクセス時間の差異はかなりどうしようもない感じがしますね。

        • Re: (スコア:4, 参考になる)

          by Anonymous Coward

          ってか当のバグに「タイミング攻撃問題は未解決だよ」って書いてあった。
          https://bugzilla.mozilla.org/show_bug.cgi?id=147777#c294 [mozilla.org]
          関連してそうなバグが未解決なことからも解決の困難さがうかがえる。
          https://bugzilla.mozilla.org/show_bug.cgi?id=557579 [mozilla.org]

          • by Anonymous Coward

            パスワードクラックの古典的手法で同じ(反応時間の差で正解の文字
            を求める)のがあったけど、それの対策するのにアセンブラレベルで処理数
            同じにする必要とかあったからなあ。

            • by Anonymous Coward on 2013年08月08日 11時12分 (#2436931)

              近年の CPU では高速化のためのテクノロジのせいでステップ数が同じでも実行時間に差がでたりしそうですね…

              親コメント

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...