テクノロジー
ブラウザを開くだけでSSDから履歴が筒抜けに。新たな攻撃「FROST」の戦慄
ブラウザの標準API「OPFS」を悪用し、SSDの物理的な処理遅延からユーザーの行動履歴を丸裸にする新手法「FROST」の脅威に迫る。
別名: COOP
Cross-Origin Opener Policy(COOP)は、ウェブページが他のオリジンから開かれたウィンドウとの関係を制御するためのHTTPセキュリティヘッダーです。このポリシーを設定することで、異なるオリジン間でウィンドウオブジェクトへのアクセスを制限し、悪意のあるサイトがユーザーの開いている他のタブやウィンドウにアクセスするのを防ぎます。FROST攻撃では、攻撃者がCOOPおよびCross-Origin Embedder Policy(COEP)のヘッダーを適切に設定して「クロスオリジン分離」を有効化することで、JavaScriptから高精度な時間計測用API(performance.now())にアクセスする権利を獲得し、ミリ秒以下の微小な遅延を正確に記録しています。