国产成人毛片毛片久久网_国产午夜激无码av毛片不_国产乱对白精彩在线播放_av资源站中文字幕_亚洲男人的天堂网站_国产成 人 综合 亚洲网_中国国产激情一区_少妇一级淫片免费放_亚洲一本大道av久在线播放_免费观看美女裸体网站

谷歌計劃在Chrome網(wǎng)絡(luò)瀏覽器中添加一項新的安全功能，旨在阻止?jié)撛诘墓�擊者通過濫用瀏覽器的HTTP緩存啟動旁道攻擊并跟蹤用戶的活動。

新功能將使用頂部幀原點(diǎn)（以及可能的子幀原點(diǎn)）對Chrome的HTTP緩存進(jìn)行分區(qū)，以防止來自一個來源的文檔知道來自跨源的資源是否被緩存。

這種方法可以防止攻擊者利用他們控制的惡意站點(diǎn)發(fā)起側(cè)通道攻擊，以檢測他們的目標(biāo)訪問過的另一個站點(diǎn)是否在他們的Web瀏覽器緩存中。

根據(jù)“分區(qū)HTTP緩存”安全功能的Chrome平臺狀態(tài)條目，緩存攻擊可能會觸發(fā)以下類型的信息泄漏：

瀏覽器的緩存還可以用作用戶指紋識別方法，方法是存儲跨站點(diǎn)超級cookie，這些超級cookie要求目標(biāo)完全清除瀏覽器的緩存以刪除它們。

攻擊濫用Chrome的HTTP緩存

此示例基于HTTP緩存的攻擊顯示了不良演員如何通過濫用Google易受攻擊的端點(diǎn)輕松收集有關(guān)Chrome用戶的敏感信息。正如記錄這一特定攻擊的研究人員所解釋的那樣，“影響因檢索私人圖書集而不是通過char獲取所有用戶的聯(lián)系人char而變化�！�

可用于這些攻擊的易受攻擊的網(wǎng)站包括谷歌的郵件和搜索，谷歌圖書和YouTube。在瀏覽這些Google網(wǎng)站后訪問惡意設(shè)計的網(wǎng)站的用戶可能會泄露其敏感信息。

用戶可以在成功進(jìn)行側(cè)通道緩存攻擊時獲取數(shù)據(jù)攻擊者的類型：

緩解緩存攻擊所需的更改

根據(jù)該功能的設(shè)計規(guī)范，“解決方案是通過頁面頂部框架的原點(diǎn)（例如，多功能框中顯示的內(nèi)容）或頂層框架和子框架源的組合來劃分磁盤緩存。這種方式為一個來源加載的資源無法被另一個來源讀取，并且兩個問題都得到了解決�！�

用于緩存隔離和緩存攻擊緩解的當(dāng)前選項是：
•（頂部框架原點(diǎn)，請求URL）作為雙鍵
•（框架原點(diǎn)，請求URL）作為雙鍵
•（頂部框架原點(diǎn)+框架原點(diǎn)，請求URL）作為三鍵

Chrome開發(fā)人員目前已提出“用于共享/服務(wù)工作者請求的子資源請求和文檔發(fā)起者的頂級框架來源”作為首選緩解解決方案，但他們?nèi)栽谑占�更多�?shù)據(jù)以做出最終決策。

“由于擔(dān)心緩存命中率會大幅降低，導(dǎo)致網(wǎng)絡(luò)使用量大幅增加，頁面加載時間過長，因此Chrome尚未解決此問題，”Google軟件工程師Shivani Sharma表示，該功能的  HTTP緩存威脅模型文檔。

“最近在金絲雀和開發(fā)渠道的實(shí)驗表明，與我們之前的想法相反，損失是可以接受的�！�

計劃分區(qū)的HTTP緩存功能的最終目標(biāo)是“防止來自一個來源的文檔知道來自跨源文檔加載的資源是否被緩存，”Sharma補(bǔ)充道。

在所有主流瀏覽器中，Safari是六年多以前唯一已經(jīng)實(shí)現(xiàn)此功能版本的瀏覽器，而Mozilla已經(jīng)證明它公開支持新的安全增強(qiáng)功能，而微軟尚未發(fā)布任何公開信號。任何在Edge瀏覽器中實(shí)現(xiàn)緩存分區(qū)的計劃。