來源:http://www.ithome.com.tw/news/116500
瀏覽器擴充漏洞可能導致資料外洩或用戶曝光,Firefox、Chrome與Safari都受影響
引用的論文是8月的一篇proceeding,看起來是滿新的
這裡稍微節錄部分內容:
發動計時旁路攻擊(timing side-channel)
...
而這種技倆可以繞過所有主要瀏覽器的防護,包括Safari、Chrominum系列的瀏覽器
如Chrome、Opera、Yandex、Comodo Dragon及舊版Firefox等。
這裡談到的舊版Firefox是指非WebExtension的Firefox版本,其實也不完全算舊版
因為當前的Firefox仍可運作舊套件的架構而且
Surprisingly, non-WebExtensions in Firefox suffer
from a different bug that makes even easier to detect the
installed extensions.
看起來現有的架構也挺危險的。
雖然這件事情大家都中招,但是有一點值得反思的是,如果這個市場都是GC的佔領
所有所謂其他的瀏覽器也只是 chromium 的二創,那只要有問題就是大家一起死
而且你沒有其他選擇。保持多元性是相當重要的。
論文裡面還有其他問題,也可以去關注一下。