@skobkin всё ещё считаю это теоретической хренью, которую никто никогда не будет эксплуатировать. Особенно на обычных компах обычных людей. Зато снижение производительности от всех этих mitigations вполне реальное.
@grishka Не скажи. PoC'и эксплуатации предыдущих уязвимостей были даже в виде JS под браузеры. Если я правильно понимаю, то ничто не мешает заразить тысячи старых вордпрессов и прочих и сидеть тихонечко сливать память у большого количества посетителей.
И это не говоря уже о корпоративном сегменте где ты можешь подсев в облаке на одну ноду с какой-нибудь компанией и воровать данные из её виртуальных машин.
Я не думаю, что с этим столкнётся каждый, но в то же время я совсем не уверен, что меры принимать не стоит.
Будет неприятно, например, если пока ты в одной вкладке браузера вводишь данные карты при покупке, другая тихонько читает память.
@grishka Не скажи. PoC'и эксплуатации предыдущих уязвимостей были даже в виде JS под браузеры. Если я правильно понимаю, то ничто не мешает заразить тысячи старых вордпрессов и прочих и сидеть тихонечко сливать память у большого количества посетителей.
И это не говоря уже о корпоративном сегменте где ты можешь подсев в облаке на одну ноду с какой-нибудь компанией и воровать данные из её виртуальных машин.
Gregory's Server
@grishka Не скажи. PoC'и эксплуатации предыдущих уязвимостей были даже в виде JS под браузеры.
Если я правильно понимаю, то ничто не мешает заразить тысячи старых вордпрессов и прочих и сидеть тихонечко сливать память у большого количества посетителей.
И это не говоря уже о корпоративном сегменте где ты можешь подсев в облаке на одну ноду с какой-нибудь компанией и воровать данные из её виртуальных машин.
Я не думаю, что с этим столкнётся каждый, но в то же время я совсем не уверен, что меры принимать не стоит.
Будет неприятно, например, если пока ты в одной вкладке браузера вводишь данные карты при покупке, другая тихонько читает память.
@grishka Не скажи. PoC'и эксплуатации предыдущих уязвимостей были даже в виде JS под браузеры.
Если я правильно понимаю, то ничто не мешает заразить тысячи старых вордпрессов и прочих и сидеть тихонечко сливать память у большого количества посетителей.
И это не говоря уже о корпоративном сегменте где ты можешь подсев в облаке на одну ноду с какой-нибудь компанией и воровать данные из её виртуальных машин.