https://www.opennet.me/openforum/vsluhforumID3/136912.html В библиотеке OpenPGP.js выявлена уязвимость (CVE-2025-47934), позволяющая злоумышленнику отправить модифицированное сообщение, которое будет воспринято получателем как верифицированное (функции openpgp.verify и openpgp.decrypt вернут признак успешной проверки цифровой подписи, несмотря на то, что содержимое заменено и отличается от данных, для которых создавалась подпись). Уязвимость устранена в выпусках OpenPGP.js 5.11.3 и 6.1.1. Проблема проявляется только в ветках OpenPGP.js 5.x и 6.x, и не затрагивает OpenPGP.js 4.x...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=63278<br> https://www.opennet.me/openforum/vsluhforumID3/136912.html#36 Sun, 01 Jun 2025 12:11:59 GMT Те кто в теме, те поймут у кого бред и троллевая болезнь<br> https://www.opennet.me/openforum/vsluhforumID3/136912.html#35 Fri, 23 May 2025 20:00:25 GMT &gt;&gt; то хочу увидеть пруфы.<br>&gt; Дал ключевые слова, даже кратко разьяснил, но нет, таки надо еще и лекцию и с пруфами, в гугле наверно бан?<br><br>Бредовый поток сознания - это не краткое разъяснение. Нужны пруфы или не было. Дешевый трюк иди поищи не сработает.<br><br><br> https://www.opennet.me/openforum/vsluhforumID3/136912.html#34 Fri, 23 May 2025 17:27:10 GMT &gt; то хочу увидеть пруфы.<br><br>Дал ключевые слова, даже кратко разьяснил, но нет, таки надо еще и лекцию и с пруфами, в гугле наверно бан?<br><br>Может еще яблочко пожевать?<br><br>:)<br> https://www.opennet.me/openforum/vsluhforumID3/136912.html#33 Fri, 23 May 2025 12:42:27 GMT &gt;[оверквотинг удален]<br>&gt; к байткоду.<br>&gt; - Во вторых, компиляторы в УАСМ, трансформируют код в быстродействующий non-constant-time <br>&gt; код, заменяющие лукапы в брэнчи причем в зависимости от инпута (спасибо <br>&gt; JIT) <br>&gt; - УАСМ который скармливается браузерам добавляют временные изменения на низком уровне, <br>&gt; тайминг в доступе к памяти, кэш и брэнч предикторы которые раскрывают <br>&gt; информацию и УАСМ не предоставляет низко уровневого котроля кэша и памяти <br>&gt; по сравнению с нативным кодом <br>&gt; - ctgrind и dudect в помощь для иследования WASM в криптографии (мы <br>&gt; ж про субж всё еще, правда?) <br><br>Ничего не понятно. Если хочешь сказать, что после компиляции в wasm можно получить timing attack, то хочу увидеть пруфы.<br> https://www.opennet.me/openforum/vsluhforumID3/136912.html#32 Fri, 23 May 2025 06:56:14 GMT &gt;&gt;&gt; когда есть васм <br>&gt;&gt; WASM - есть **is not constant time = side channel attacks !** <br>&gt; Как связаны timing attack и WASM? Они возможны в любом яп.<br><br>- Во первых, WASM - не язык на котором програмируют, это ближе к байткоду.<br>- Во вторых, компиляторы в УАСМ, трансформируют код в быстродействующий non-constant-time код, заменяющие лукапы в брэнчи причем в зависимости от инпута (спасибо JIT)<br>- УАСМ который скармливается браузерам добавляют временные изменения на низком уровне, тайминг в доступе к памяти, кэш и брэнч предикторы которые раскрывают информацию и УАСМ не предоставляет низко уровневого котроля кэша и памяти по сравнению с нативным кодом<br>- ctgrind и dudect в помощь для иследования WASM в криптографии (мы ж про субж всё еще, правда?)<br> https://www.opennet.me/openforum/vsluhforumID3/136912.html#31 Thu, 22 May 2025 20:30:45 GMT Согласен. Реализация криптолибы это отдельный челендж, обычно провальный. А уж на js &#8211; тем паче.<br> https://www.opennet.me/openforum/vsluhforumID3/136912.html#30 Thu, 22 May 2025 19:33:13 GMT &gt;&gt; когда есть васм <br>&gt; WASM - есть **is not constant time = side channel attacks !** <br><br>Как связаны timing attack и WASM? Они возможны в любом яп.<br> https://www.opennet.me/openforum/vsluhforumID3/136912.html#29 Thu, 22 May 2025 08:36:17 GMT &gt; когда есть васм<br><br>WASM - есть **is not constant time = side channel attacks !**<br> https://www.opennet.me/openforum/vsluhforumID3/136912.html#28 Thu, 22 May 2025 08:33:36 GMT openssl, age?<br>