Sécurité de firefox, JIT javascript, baseline et meltdown.
Modérateurs : myahoo, nico@nc, Mori, jpj
Sécurité de firefox, JIT javascript, baseline et meltdown.
Bonjour,
Les failles meltdown et spectre montrent et révèlent que ce n'est pas très prudent de compiler du javascript en JIT, car ça permet une moins bonne isolation que en l'interprétant. Dans ce cas metldown peut-être exploité depuis du code javascript car il est compilé. Au dela de cela la compilation JIT permet pour un webmaster d'utiliser les resources de l'ordinateur client à son compte (par exemple miner du bitcoin), ce qui est problèmatique.
Est-ce que quelqu'un sait s'il est possible de désactiver totalement la compilation de code javascript dans Firefox. J'ai passé Javascript.option.baselinejit à false, mais est-ce que ça suffit à désactiver totalement la compilation du javascript? et du coup ne plus être vulnérable à l'exploitation de failles de type meltdown via le javascript? Est-ce que dans ce cas le javascript est interpreté?
Merci par avance.
Les failles meltdown et spectre montrent et révèlent que ce n'est pas très prudent de compiler du javascript en JIT, car ça permet une moins bonne isolation que en l'interprétant. Dans ce cas metldown peut-être exploité depuis du code javascript car il est compilé. Au dela de cela la compilation JIT permet pour un webmaster d'utiliser les resources de l'ordinateur client à son compte (par exemple miner du bitcoin), ce qui est problèmatique.
Est-ce que quelqu'un sait s'il est possible de désactiver totalement la compilation de code javascript dans Firefox. J'ai passé Javascript.option.baselinejit à false, mais est-ce que ça suffit à désactiver totalement la compilation du javascript? et du coup ne plus être vulnérable à l'exploitation de failles de type meltdown via le javascript? Est-ce que dans ce cas le javascript est interpreté?
Merci par avance.
Re: Sécurité de firefox, JIT javascript, baseline et meltdown.
Bonjour
La dernière version de Firefox corrige ce risque de sécurité, non ? https://www.mozilla.org/en-US/firefox/5 ... easenotes/
Je pose cette question, car ne connaissant pas le sujet du JavScript en JIT...
La dernière version de Firefox corrige ce risque de sécurité, non ? https://www.mozilla.org/en-US/firefox/5 ... easenotes/
Je pose cette question, car ne connaissant pas le sujet du JavScript en JIT...
Sauvegardez le profil de votre Firefox , avant d'y faire des modifications(install, etc..)
"Le bonheur est souvent la seule chose qu'on puisse donner sans l'avoir, et c'est en le donnant qu'on l'acquiert." Voltaire
"Le bonheur est souvent la seule chose qu'on puisse donner sans l'avoir, et c'est en le donnant qu'on l'acquiert." Voltaire
Re: Sécurité de firefox, JIT javascript, baseline et meltdown.
Merci pour l'info,
Mais même comme ça je souhaiterai désactiver la compilation de javascript, pour moi un code étranger auquel on ne fait pas une confiance particulière n'a pas a être compilé et exécuté sur ma machine. On est pas à l’abri qu'il y ai d'autres failles du genre plus tard.
Mais même comme ça je souhaiterai désactiver la compilation de javascript, pour moi un code étranger auquel on ne fait pas une confiance particulière n'a pas a être compilé et exécuté sur ma machine. On est pas à l’abri qu'il y ai d'autres failles du genre plus tard.
-
- Arias
- Messages : 2
- Inscription : 24 sept. 2021, 11:02
Re: Sécurité de firefox, JIT javascript, baseline et meltdown.
Thanks for sharing more info!
Qui est en ligne ?
Utilisateurs parcourant ce forum : Bing [Bot] et 9 invités