The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

15.12.2011 20:05  Потенциальная уязвимость в технологии CSS Shaders

Адам Барт (Adam Barth), ответственный за безопасность браузера Chrome, опубликовал информацию о потенциальной опасности раскрытия конфиденциальной информации интернет-пользователей с помощью технологии CSS Shaders, предложенной к включению в стандарт CSS.

Технология CSS Shaders позволяет применять шейдеры к различным элементам веб-страницы, открывая огромный простор для графических дизайнеров и программистов веб-сайтов. Однако, по мнению Адама Барта такая технология по своей природе имеет изъян, который позволяет разработчику веб-сайта применить тайминг-атаку для получения текущего содержимого того или иного элемента веб-страницы.

В качестве примера Адам приводит различные кнопки "Like", "+1", а также блоки "iframe", в которых открыты другие сайты. Злоумышленник может создать страницу, которая будет содержать в себе "iframe", в котором будет открываться другая страница, содержащая конфиденциальную информацию пользователя. С помощью CSS Shaders злоумышленник также может применить к этому "iframe" специальный шейдер, который будет проходить по участкам полученного на вход изображения и применять к ним тот или иной метод трансформации. В зависимости от содержимого участка эта операция будет занимать разное количество времени, после измерения которого злоумышленник сможет достаточно точно восстановить оригинальное изображение и, таким образом, получить доступ к данным пользователя.

Несмотря на чрезвычайную сложность выполнения такой атаки и отсутствие доказательств существования уязвимости в виде работающего эксплойта, разработчики других web-браузеров из компаний Apple, Adobe (которая развивает свою собственную версию WebKit с более полной поддержкой CSS3/CSS4) и Opera подтвердили наличие проблемы, но пришли к заключению, что тревогу бить пока рано.

Интересно, что не так давно аналогичная уязвимость была найдена в технологии WebGL, для которой даже был представлен работающий эксплойт. Однако разработчики быстро устранили проблему с помощью запрета использования в качестве источника данных не авторизованные заранее веб-сайты.



  1. Главная ссылка к новости (http://www.theregister.co.uk/2...)
  2. OpenNews: В реализации WebGL из состава Firefox 4 найдена уязвимость
  3. OpenNews: В Firefox 5 будет отключена поддержка междоменных текстур WebGL
Автор новости: Evgeny Zobnin
Тип: Проблемы безопасности
Ключевые слова: css, shaders, webgl, webkit
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, Аноним, 21:02, 15/12/2011 [ответить] [смотреть все]
  • +1 +/
    а что, нельзя просто передать данные картинки шейдером вражескому скрипту из кое... весь текст скрыт [показать]
     
  • 1.8, cobold, 23:57, 15/12/2011 [ответить] [смотреть все]  
  • +3 +/
    А раньше можно было подключиться осциллографом к электропроводке жертвы и проанализировав помехи воспроизвести что у неё на экране. Наверное даже проще чем по сабжу.
     
     
  • 2.9, all_glory_to_the_hypnotoad, 00:09, 16/12/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    это и сейчас можно, но уже не через проводку, а просто со специальной антенной
     
  • 1.12, VolanD, 07:30, 16/12/2011 [ответить] [смотреть все]  
  • –1 +/
    >[оверквотинг удален]
    > Технология CSS Shaders позволяет применять к шейдеры к различным элементам веб-страницы,
    > открывая огромный простор для графических дизайнеров и программистов веб-сайтов. Однако,
    > по мнению Адама Барта такая технология по своей природе имеет изъян,
    > который позволяет разработчику веб-сайта применить тайминг-атаку для получения текущего
    > содержимого того или иного элемента веб-страницы.
    > В качестве примера Адам приводит различные кнопки "Like", "+1", а также блоки
    > "iframe", в которых открыты другие сайты. Злоумышленник может создать страницу, которая
    > будет содержать в себе "iframe", в котором будет ...
    > URL: http://www.theregister.co.uk/2011/12/14/browser_image_theft_threat/
    > Новость: https://www.opennet.ru/opennews/art.shtml?num=32574

    Простите, я не силен в вэб программировании, но это те самые шейдеры, которые используются при программировании GPU?

     
     
  • 2.21, nagual, 17:19, 16/12/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ТЫ что такие сложные вопросы задаешь - тут народ восновном в шапочках из обер... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, VolanD, 18:41, 16/12/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    А какие, если не секрет ... весь текст скрыт [показать]
     
     
  • 4.23, nagual, 21:24, 16/12/2011 [^] [ответить] [смотреть все]  
  • +/
    Те что в графике шейдеры уже работают, а эти только только выпилить хотять и то ... весь текст скрыт [показать]
     
  • 4.24, Maxim Filatov, 09:34, 18/12/2011 [^] [ответить] [смотреть все]  
  • +/
    Вот эти https dvcs w3 org hg FXTF raw-file tip custom index html ... весь текст скрыт [показать]
     
  • 1.14, A_n_D, 08:35, 16/12/2011 [ответить] [смотреть все]  
  • +1 +/
    >но пришли к заключению, что тревогу бить пока рано.

    Не рано будет, когда технология распространится и её уже будет не выпилить.

     
     
  • 2.17, Аноним, 13:54, 16/12/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Эта история повторялась в IT уже достаточное количество раз А мыши так и продол... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor