JVN: IEEE802.11 規格のフレームアグリゲーションやフラグメンテーションに関する複数の問題(FragAttack)

5 hours 8 minutes ago
IEEE802.11 規格のフレームアグリゲーションやフラグメンテーションに、設計上の問題点が複数発見されました。また、発見者は複数の無線ネットワーク機器に共通する実装上の問題が存在していることも確認しています。これらの問題は総称して「FragAttack」と呼ばれています。

Google、SharedArrayBuffer API使用に対するクロスオリジン分離義務付け開始をChrome 92に延期

7 hours 25 minutes ago
headless 曰く、Googleは10日、デスクトップ版Google ChromeでSharedArrayBuffer APIを使用するサイトに対するクロスオリジン分離義務付け開始をM92(Chrome 92)に延期すると発表した(Chromium Blogの記事)。 SharedArrayBuffer APIは2018年にSpectre対策としてすべての主要ブラウザーで無効化されたが、Googleはサイト分離を導入したChrome 67で再び有効化している。クロスオリジン分離義務付けはSharedArrayBufferのような攻撃者に広い帯域を与えるAPIを制限し、Spectreなどのサイドチャネル攻撃を緩和するものだ。MozillaはFirefox 79でクロスオリジン分離義務付けを導入しており、SharedArrayBufferをM88で導入したAndroid版Chromeでは、当初からクロスオリジン分離が義務付けられている。 Googleはデスクトップ版ChromeでもM91からSharedArrayBufferやperformance.measureUserAgentSpecificMemory()といったAPI使用にクロスオリジン分離の義務付けを開始する計画を2月に発表していた。しかし、フィードバックや報告された問題を受けてSharedArrayBufferのクロスオリジン分離義務付けをM92に延期するとのこと。 なお、Chrome 92のリリースまでに対応が間に合わない場合、Chrome Origin Trialsで取得したオリジンのトークンを「Origin-Trial」HTTPヘッダーに追加することでChrome 96までは現在のAPIの挙動を維持できる。

すべて読む | ITセクション | Chrome | セキュリティ | デベロッパー |

関連ストーリー:
HTTPS Everywhereが自前ルールセットの更新を終了へ 2021年05月07日
Microsoft、HTTPでのナビゲーション時に自動でHTTPSへアップグレードする機能をMicrosoft Edge 92に追加する計画 2021年05月01日
Firefox 88リリース、FTPサポートが無効化 2021年04月22日
GoogleのFLoC、Chrome以外のメジャーブラウザーはサポートしない雰囲気 2021年04月19日
新Microsoft Edge、デスクトップブラウザーシェアでFirefoxを超える 2021年04月04日
URLから追跡要素を削除する拡張機能 "ClearURLs" がChrome ウェブストアから削除 2021年03月26日
Chrome 90、プロトコルを省略したURLが入力された場合のデフォルトがHTTPSに 2021年03月26日
デスクトップ版Chrome 67、Spectreなどの対策としてSite Isolationが有効に 2018年07月15日

nagazou

Google、SharedArrayBuffer API使用に対するクロスオリジン分離義務付け開始をChrome 92に延期

7 hours 25 minutes ago
headless 曰く、Googleは10日、デスクトップ版Google ChromeでSharedArrayBuffer APIを使用するサイトに対するクロスオリジン分離義務付け開始をM92(Chrome 92)に延期すると発表した(Chromium Blogの記事)。 SharedArrayBuffer APIは2018年にSpectre対策としてすべての主要ブラウザーで無効化されたが、Googleはサイト分離を導入したChrome 67で再び有効化している。クロスオリジン分離義務付けはSharedArrayBufferのような攻撃者に広い帯域を与えるAPIを制限し、Spectreなどのサイドチャネル攻撃を緩和するものだ。MozillaはFirefox 79でクロスオリジン分離義務付けを導入しており、SharedArrayBufferをM88で導入したAndroid版Chromeでは、当初からクロスオリジン分離が義務付けられている。 Googleはデスクトップ版ChromeでもM91からSharedArrayBufferやperformance.measureUserAgentSpecificMemory()といったAPI使用にクロスオリジン分離の義務付けを開始する計画を2月に発表していた。しかし、フィードバックや報告された問題を受けてSharedArrayBufferのクロスオリジン分離義務付けをM92に延期するとのこと。 なお、Chrome 92のリリースまでに対応が間に合わない場合、Chrome Origin Trialsで取得したオリジンのトークンを「Origin-Trial」HTTPヘッダーに追加することでChrome 96までは現在のAPIの挙動を維持できる。

すべて読む | ITセクション | Chrome | セキュリティ | デベロッパー |

関連ストーリー:
HTTPS Everywhereが自前ルールセットの更新を終了へ 2021年05月07日
Microsoft、HTTPでのナビゲーション時に自動でHTTPSへアップグレードする機能をMicrosoft Edge 92に追加する計画 2021年05月01日
Firefox 88リリース、FTPサポートが無効化 2021年04月22日
GoogleのFLoC、Chrome以外のメジャーブラウザーはサポートしない雰囲気 2021年04月19日
新Microsoft Edge、デスクトップブラウザーシェアでFirefoxを超える 2021年04月04日
URLから追跡要素を削除する拡張機能 "ClearURLs" がChrome ウェブストアから削除 2021年03月26日
Chrome 90、プロトコルを省略したURLが入力された場合のデフォルトがHTTPSに 2021年03月26日
デスクトップ版Chrome 67、Spectreなどの対策としてSite Isolationが有効に 2018年07月15日

nagazou