新しいキャッシュサイドチャネル攻撃は、標的となるオンラインユーザーの匿名化を解除できます from thehackernews.com
security summary
ターゲットに続いて、共有リソースを攻撃Webサイトに埋め込みます。
これは、たとえば、被害者の電子メールアドレスまたはサービスに関連付けられた適切なユーザー名を使用してターゲットとリソースをプライベートに共有し、HTMLタグを使用して漏洩リソースを挿入することで実現できます。
このエクスプロイトページは、ターゲットのブラウザによってレンダリングされるため、訪問者が共有リソースにアクセスできるかどうかを判断するために使用されます。
攻撃は、一言で言えば、共有コンテンツの一部を介してそれらの個人に関連付けられたアカウントのリストをソーシャルメディアアカウントまたは電子メールアドレスに接続することにより、攻撃者の制御下にあるWebサイトのユーザーのマスクを解除することを目的としています。
タイミングとレンダリングのサイドチャネルに対抗するために、Webサイトの所有者は、ユーザーが共有リソースにアクセスするようにプロビジョニングされているかどうかに関係なく、一定時間で応答を返すようにWebサーバーを設計し、エラーページをコンテンツにできるだけ類似させることをお勧めします。
チャネルは、強力なWebサイトのフィンガープリント攻撃を仕掛けるために使用できます。
コメント