来源:http://www.ithome.com.tw/news/116500
浏览器扩充漏洞可能导致资料外泄或用户曝光,Firefox、Chrome与Safari都受影响
引用的论文是8月的一篇proceeding,看起来是满新的
这里稍微节录部分内容:
发动计时旁路攻击(timing side-channel)
...
而这种技俩可以绕过所有主要浏览器的防护,包括Safari、Chrominum系列的浏览器
如Chrome、Opera、Yandex、Comodo Dragon及旧版Firefox等。
这里谈到的旧版Firefox是指非WebExtension的Firefox版本,其实也不完全算旧版
因为当前的Firefox仍可运作旧套件的架构而且
Surprisingly, non-WebExtensions in Firefox suffer
from a different bug that makes even easier to detect the
installed extensions.
看起来现有的架构也挺危险的。
虽然这件事情大家都中招,但是有一点值得反思的是,如果这个市场都是GC的占领
所有所谓其他的浏览器也只是 chromium 的二创,那只要有问题就是大家一起死
而且你没有其他选择。保持多元性是相当重要的。
论文里面还有其他问题,也可以去关注一下。