On 01/07/18 01:09, grey.fenrir wrote: > По ссылке не ходил, но рискну высказаться. Обе уязвимости достаточно сложно > реализовать, ещё > сложнее полностью закрыть. Насколько я понял, обе завязаны на точном > измерении времени для > выявления кэширования, значит для JS будет достаточно немного испортить > таймеры. Файфокс точно > вышел обновленный, хром если и не вышел, то будет со дня на день. Варез linux > world все равно не > особо юзает, а значит, для попадания на атакуемую систему почти не остается > лазеек. Имхо это вкупе > со сложностью реализации это делает уязвимость для хакеров неинтересной, > разве что > целенаправленные атаки. > > ps: косяк конечно эпичный, но именно такие вещи заставляют людей начинать > думать. А то ишь ты, > поверили все, что процессор разделяет адресные пространства процессов.. > > --- > Taras aka L0ki >
Варез ещё как используется, особено новичками. И ещё наивно надеятся, что опен сорс защитит от злонамеренного кода. Тот же npm с его дырами взять. Тут вот товарищ один прошёлся по нему: https://hackernoon.com/im-harvesting-credit-card-numbers-and-passwords-from-your-site-here-s-how-9a8cb347c5b5
