<div dir="ltr">

<div>The glitch paper suggests that:</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

To protect the system against both GPU and CPU sidechannel
attacks, currently the only practical solution in the
browser is disabling all possible timing sources.

<br></blockquote><div><br></div><div>You see the issue with this is that it breaks our ability to measure time. That's a big deal.</div><div><br></div><div><img src="https://upload.wikimedia.org/wikipedia/commons/b/bf/H1_low_250.jpg" class="mw-mmv-final-image jpg" alt="" width="146" height="171" style="margin-right: 0px;"><br></div><div><br></div><div>This is one of the early marine chronometers. It's the device that enabled precise naval navigation because now not only could you determine latitude (from the stars) but you could also pinpoint longitude fairly precisely.</div><div><br></div><div>As the name suggests "real-time" rendering has a time component (that's the time, in "real-time"). You might infer from that fact that "time" is a rather important quantity in "real-time", and you'd be absolutely correct. Breaking time alone wouldn't be a problem if everybody had the same hardware. But that's in fact, surprisingly, not the case. Developers need to write software for hardware whose real-time performance can differ up to a factor 1000x at the extremes, up to 100x between major device categories and up to around 10x within a device category.</div><div><br></div><div>Measuring time is therefore rather important if you want to keep it "real". Not just your time, and not just the time of individual samples of hardware you luckily happen to have access to, but time as broadly as possible. We can't do that now can we anymore? No we can't.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span style="color:rgb(0,0,0);font-family:Arial;font-size:16px;font-style:normal;font-variant-ligatures:normal;font-variant-caps:normal;font-weight:400;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:pre-wrap;word-spacing:0px;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline">With Site Isolation enabled, the amount of data exposed to side-channel attacks is reduced as Chrome renders content for each website in a separate process</span></blockquote><div><br></div><div> The glitch paper does not suggest that "putting stuff into a process" is a mitigation strategy.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<span style="color:rgb(0,0,0);font-family:Arial;font-size:16px;font-style:normal;font-variant-ligatures:normal;font-variant-caps:normal;font-weight:400;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:pre-wrap;word-spacing:0px;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline">Accordingly, they will remain disabled in Chrome until Site Isolation is on by default</span>

<br></blockquote><div><br></div><div>When is site isolation going to be on by default? When do other UAs have this?</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<span style="color:rgb(0,0,0);font-family:Arial;font-size:16px;font-style:normal;font-variant-ligatures:normal;font-variant-caps:normal;font-weight:400;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:pre-wrap;word-spacing:0px;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline">at which point they will be re-enabled with sufficiently reduced precision to mitigate GLitch attacks</span>

</blockquote><div><br></div><div>What does that mean exactly? So imprecise we can't practically use them anymore to measure any performance or what?</div><div><br></div><div>-----------</div><div><br></div><div>This whole episode is so unacceptable at so many levels. You're breaking the tools we need to build applications. Native applications don't have this problem (they just ignore it, any natively installed game can now steal your whatevers). You're breaking the empirical method. Now there's nothing left but blindly stabbing in the dark. Well done you, well done.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 15, 2018 at 2:54 PM, Nicolas Capens <span dir="ltr"><<a href="mailto:capn@google.com" target="_blank">capn@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">As mentioned <a href="https://www.chromium.org/Home/chromium-security/ssca" target="_blank">here</a>, the WebGL timer extensions "will remain disabled in Chrome until Site Isolation is on by default, at which point they will be re-enabled with sufficiently reduced precision to mitigate GLitch attacks".<div><div class="h5"><br><br><div class="gmail_quote"><div dir="ltr">On Sun, May 13, 2018 at 1:51 PM Florian Bösch <<a href="mailto:pyalot@gmail.com" target="_blank">pyalot@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">20 years on writing hardware accelerated code we have no way to measure the performance of the programs we write, on the machines our users use to run these programs. You've got to be fucking kidding me man.</div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, May 13, 2018 at 6:48 PM, Aleksandar Rodic <span dir="ltr"><<a href="mailto:aleksandar.xyz@gmail.com" target="_blank">aleksandar.xyz@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">My guess is the extension has been disabled due to recently discovered "<a href="https://www.vusec.net/wp-content/uploads/2018/05/glitch.pdf" target="_blank">GLitch</a>" rowhammer attack vector.<div><br></div><div>> EXT_DISJOINT_TIMER_QUERY is an OpenGL extension
developed to provide developers with more detailed
information about the performance of their applications [46].
This extension, if made available to the system by the GPU
driver, is accessible from both WebGL and WebGL2, and
provides the JavaScript runtime with two timing sources:
(1) TIME_ELAPSED_EXT and (2) TIMESTAMP_EXT. Such
timers allow an attacker to measure the timing of secret
operations (e.g., memory accesses) performed either by the
CPU or the GPU.


</div></div><div class="m_5033554911903968457gmail-m_-152606645766472763HOEnZb"><div class="m_5033554911903968457gmail-m_-152606645766472763h5"><br><div class="gmail_quote"><div dir="ltr">On Sun, May 13, 2018 at 4:32 PM Florian Bösch <<a href="mailto:pyalot@gmail.com" target="_blank">pyalot@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, Apr 6, 2018 at 12:50 AM, Ken Russell <span dir="ltr"><<a href="mailto:kbr@google.com" target="_blank">kbr@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">We can not currently discuss why the extension has been disabled. We should be able to do so in about a month.</div></blockquote><div><br></div></div></div></div><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>It's now been a month and a week since this statement.</div></div></div></div>
</blockquote></div>
</div></div></blockquote></div><br></div>
</blockquote></div></div></div></div>
</blockquote></div><br></div>