Google ayaa daabacday dhowr nooc oo ka faa'iidaysi ah oo muujinaya suurtagalnimada in laga faa'iidaysto nuglaanta fasalka Specter marka la fulinayo koodka JavaScript ee browserka, iyada oo laga gudbayo hababka ilaalinta ee hore loogu daray. Ka faa'iidaysiga waxa loo isticmaali karaa in lagu galo xusuusta habka habaynta macluumaadka shabakadda ee tabka hadda jira. Si loo tijaabiyo hawlgalka ka faa'iidaysiga, website-ka leaky.page ayaa la bilaabay, iyo koodka qeexaya macquulka shaqada ayaa lagu dhajiyay GitHub.
Tusaalaha la soo jeediyay waxaa loogu talagalay in lagu weeraro nidaamyada Intel Core i7-6500U processors ee deegaan leh Linux iyo Chrome 88. Si looga faa'iidaysto deegaan kale, wax ka beddel ayaa loo baahan yahay. Habka ka faa'iidaysiga maaha mid gaar u ah soo-saareyaasha Intel - ka dib la qabsiga ku habboon, ka faa'iidaysiga ayaa la xaqiijiyay inuu ku shaqeynayo nidaamyada CPU-yada ee soo saarayaasha kale, oo ay ku jiraan Apple M1 oo ku saleysan qaab dhismeedka ARM. Dib u habeyn yar ka dib, ka faa'iidaysiga sidoo kale waa laga shaqayn karaa nidaamyada kale ee hawlgalka iyo daalacashada kale ee ku salaysan mishiinka Chromium.
Deegaan ku salaysan heerka caadiga ah ee Chrome 88 iyo Intel Skylake Processor-yaasha, waxa suurto-gashay in xogta laga soo daadiyo habka mas’uulka ka ah ka-hortagga nuxurka shabakadda ee Chrome tab (habka wax-is-beddelka) ee hadda jira xawaare dhan 1 kilobyte ilbiriqsikii. Intaa waxaa dheer, habab kale ayaa la sameeyay, tusaale ahaan, ka faa'iidaysi u oggolaanaya, qiimaha dhimista xasilloonida, si loo kordhiyo heerka daadinta ilaa 8kB/s marka la isticmaalayo waxqabadka.now() saacada saxnaanta 5 microse seconds (0.005 millise seconds) ). Waxa kale oo la diyaariyey nooc ka shaqaynaya saxnaanta saacada hal millisek, kaas oo loo isticmaali karo in lagu habeeyo gelitaanka xusuusta hab-socod kale xawaare dhan 60 bytes ilbiriqsikii.
Koodhka demo ee la daabacay wuxuu ka kooban yahay saddex qaybood. Qaybta hore waxay cabbiraysaa saacada si ay u qiyaasto wakhtiga fulinta hawlgallada loo baahan yahay si loo soo celiyo xogta ku hadhay kaydiyaha processor-ka taasoo ka dhalatay fulinta mala awaalka ah ee tilmaamaha CPU. Qaybta labaad ayaa go'aamisa qaabka xusuusta ee loo isticmaalo marka la qoondeynayo array JavaScript.
Qaybta saddexaad waxay si toos ah uga faa'iidaysanaysaa nuglaanta Specter si ay u go'aamiso nuxurka xusuusta ee habka hadda socda taas oo ka dhalatay abuurista shuruudo ku saabsan fulinta malo-awaalka ah ee hawlgallada qaarkood, natiijadaas oo natiijadu ay tuurto processor-ka ka dib markii la go'aamiyo saadaal aan guulaysan, laakiin raadadka fulinta waxaa lagu kaydiyaa kaydka guud waxaana lagu soo celin karaa iyadoo la isticmaalayo habab lagu go'aamiyo waxa ku jira khasnado ay sameeyaan kanaalada qolo saddexaad oo falanqeysa isbeddelada wakhtiga gelitaanka xogta la kaydiyay iyo kuwa aan la kaydin.
Farsamada ka faa'iidaysiga ee la soo jeediyay ayaa suurtogal ka dhigaysa in la sameeyo iyada oo aan la helin waqti-sare oo sax ah oo la heli karo iyada oo loo marayo waxqabadka.now () API, iyo iyada oo aan taageero loo helin nooca SharedArrayBuffer, kaas oo u oggolaanaya abuurista habab xusuusta la wadaago. Ka faa'iidaysiga waxaa ka mid ah qalabka Specter, kaas oo sababa fulinta malo-awaalka ah ee koodhka, iyo falanqeeyaha daadinta kanaalka, kaas oo ogaanaya xogta la kaydiyay ee la helay intii lagu jiray fulinta malo-awaalka ah.
Qalabka waxaa lagu hirgeliyaa iyadoo la adeegsanayo qaabaynta JavaScript kaas oo la isku dayay in la galo meel ka baxsan xuduudaha bakhtiyaa-nasiibka, taas oo saameynaysa xaaladda saadaasha laanta sababtoo ah joogitaanka cabbirka cabbirka ee uu ku daray compiler (processor-ku si mala-awaal ah u fuliyo ka hor marin u helida, laakiin dib u soo celiya gobolka kadib hubinta). Si loo falanqeeyo waxa ku jira khasnadda xaaladaha aan ku filnayn saxnaanta wakhtiga, hab ayaa la soo jeediyay kaas oo khiyaaneeya istaraatiijiyada Tree-PLRU ee ka saarista xogta ee loo isticmaalo processor-yada oo u oggolaanaya, iyadoo la kordhinayo tirada wareegyada, si aad u kordhiso farqiga wakhtiga marka la soo laabanayo. qiimaha kaydka iyo marka aysan jirin wax qiimo ah oo ku jira kaydka.
Waxaa la xusay in Google ay daabacday tusaalaha ka faa'iidaysiga si ay u muujiso suurtagalnimada weerarrada iyadoo la adeegsanayo nuglaanta fasalka Specter iyo in lagu dhiirrigeliyo horumarinta shabakadaha inay adeegsadaan farsamooyin yaraynaya khatarta ka iman karta weerarradan. Isla mar ahaantaana, Google wuxuu aaminsan yahay in iyada oo aan dib-u-shaqeynin muhiim ah laga helin tusaalaha la soo jeediyay, aysan suurtagal ahayn in la abuuro faa'iidooyin caalami ah oo diyaar u ah oo keliya ma aha muujinta, laakiin sidoo kale isticmaalka baahsan.
Si loo yareeyo khatarta, milkiilayaasha goobta waxaa lagu dhiirigelinayaa inay adeegsadaan madaxyada dhowaan la hirgeliyay Siyaasadda Furaha-Asal-ka-dhaafka ah (COOP), Siyaasadda Embedder-Asal-ka-taallo (COEP), Siyaasadda Kheyraadka-Asal-ka-taallo (CORP), Fetch Metadata Request, X-Frame- Ikhtiyaarada, X -Nooca-Xulashada-Nucyada-Content-Iyo Cookie-Site. Nidaamyadani si toos ah ugama difaacayaan weerarada, laakiin waxay kuu oggolaanayaan inaad ka fogaato xogta goobta si ay u daadiyaan hababka kaas oo koodka JavaScript ee weerarka lagu fulin karo (daadintu waxay ka dhacdaa xusuusta habka hadda jira, kaas oo, marka lagu daro koodka weerarka. , sidoo kale waxay ka baaraandegi kartaa xogta goobta kale ee laga furay isla tabkaas). Fikradda ugu weyn waa in la kala saaro fulinta koodhka goobta ee habab kala duwan oo ka soo jeeda koodka saddexaad ee laga helay ilo aan la isku halleyn karin, tusaale ahaan, oo lagu daro iframe.
Source: opennet.ru