web-dev-qa-db-ja.com

ブラウザのJS API(highresタイマーなど)へのアクセスを無効にできますか?

経過時間の正確な(-ish)測定に依存するMeltdownやSpectreなどのCPUバグの最近のニュースを受けて、ブラウザでwindow.performance.now()などを無効にする気分になりました(他のものは別として)緩和策は明らかに)。

  • 最近のFirefoxまたはChromiumで特定のJS API関数を無効にすることは可能ですか? (できれば構成によるが、必要に応じてソースからコンパイルすることもできます。)
  • もしそうなら、そうすることは理にかなっていますか?
web-browserjavascripttimemeltdownspectre
4
kralyk

ブラウザにパッチを適用する前に、 ser script を記述して、これらのDOMオブジェクトをダミーに置き換えるか、performanceプロパティを完全に削除できます。

これは主に開発機能であり、公開Webサイトは機能するために必要ではありません。

ただし、NaCl/WebAssemblyやWebGLのような愚かな "機能"が原因で、ブラウザでタイミングサイドチャネル攻撃を行う方法は他にもたくさんあります。

1
billc.cn