Почему необходимы как изоляция между источниками, так и CORB/CORP?

Question

Почему необходимы как изоляция между источниками, так и CORB/CORP?

Используемые сокращения:

CORP: Политика ресурсов для разных источников
CORS: совместное использование ресурсов между источниками
CORB: блокировка чтения из разных источников
SSCA: спекулятивные атаки по побочным каналам, такие как Spectre

Я прочитал эту статью, но до сих пор не понимаю, зачем нужны как изоляция между источниками, так и CORB/CORP. В частности:

Если веб-страницы могут выполнять SSCA без использования изолированных функций из разных источников (например, SharedArrayBuffer), что предполагает Chromium:
- Почему для доступа к этим функциям необходимо быть изолированным от разных источников?
В противном случае, если веб-страницы не могут выполнять SSCA без использования изолированных функций из разных источников:
- Зачем нужны CORB и CORP?

Кроме того, поскольку веб-страницы могут выполнять SSCA с использованием изолированных функций из разных источников, в чем разница между использованием Cross-Origin-Resource-Policy: cross-origin а также Access-Control-Allow-Origin: *, поскольку SSCA можно использовать для чтения данных, просто встраивая ресурс и Access-Control-Allow-Origin: * не нужно для этого?

1

html cors websecurity spectre side-channel-attacks

Источник

user9253414 18 июл '20 в 20:53

0 ответов

Другие вопросы по тегам html cors websecurity spectre side-channel-attacks