- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
прямо с JavaScript с сайта можно читать память напрямую
Да уж, это вообще супер. Хоть стой, хоть падай.
Интел заявил, что уже выслал патчи вендорам по многим процессорам, всё же сказали можно патчить процессоры от этого.
Тут больше проблема в том, мать его прямо с JavaScript с сайта можно читать память напрямую!
Чот не понял - откуда это?
И чью память - юзера или сервера?
Чот не понял - откуда это?
И чью память - юзера или сервера?
У юзера, в ФФ демонстрировали это.
У юзера, в ФФ демонстрировали это.
А кинь, плз, линк где это показывали.
А кинь, плз, линк где это показывали.
Реально сложно найти, там на хабре или гигхабе в комментариях народ давал ссылки на бложики, которые тестировали это всё. Я думаю скоро всё всплывёт уже в нормальном виде. На хабре уже статьи штампуются, про тонкости уязвимостей этих.
Голым яваскриптом поломать процессор — это круто! 🤪
Защитой от такого может быть, имхо, только шапочка из фольги.
На хабре уже статьи штампуются,
Вот именно что штампуются. Хабр давно перестал быть источником более-менее нормальной инфы. Стал на 90% желтушным ресурсом к сож.
Голым яваскриптом поломать процессор — это круто!
Вот и я удивляюсь, но вдруг и правда случилось какое-то чудо и жаба как-то вылезла из песочницы ФФ.. Но тогда это дыра прежде всего в ФФ.
Ну там обратное и не говорилось.
Вот заявление самих ФФ:
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
Мол ребятки, наши функции юзают не по назначению.
Это и есть суть проблемы, когда из песочницы можно творить "чудеса" :)
LEOnidUKG, Живой эксплоит в студию, а не бла бла нам показали кусочек кода и смонтированное видео.Но, это пол беды, допустим контейнеры KVM, 1 с виндой, а второй с фрибсд, мы условный злоумышленник, мы незнаем системного ид контейнера 2 внимание вопрос: Как нам прочитать память контейнера ид которого нам неизвестен, вариант перебирать бесполезен, также как нам не просто прочитать память, а найти нужный процесс в чужом ядре и туда инжектнуться иначе от набора байтов толку какбе мало.
Данная уязвимость создана чтобы слупить с стада капусты те денег, ибо I9 и последние Ксеоны никто непокупает.
P.S. Когда будет живой эксплоит и нормальный патч, а не сляпанный на скорую руку и протестированный живыми людьми, можно будет обновляться в зависимости от того работает ли он действительно на системе, а не бабка сказала.