<div dir="ltr"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><ul style="font-size:12.8px"><li style="margin-left:15px">to 1ms in Safari, 20µs in Firefox, 20µs with 20µs jitter in Edge, unspecified in Chrome</li></ul></blockquote><div><div>For Chrome:</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">As part of our mitigations against <a href="https://www.chromium.org/Home/chromium-security/ssca" target="_blank">Speculative Side Channel Attacks</a>, Chrome 64 will reduce the resolution of DOMHighResTimeStamps to 100us. We are also introducing 100us of random jitter to the clock edges to prevent attempts to increase resolution via edge-thresholding.  The returned time will be within +/100us of real time, however there will be no guarantee as to duration (in real time) of clock pulses between these 100us intervals.<br></blockquote><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">We intend for this to be a temporary measure while other mitigation are introduced, however we do not have a timeline for restoring the previous precision. </blockquote></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 9, 2018 at 10:48 AM, Joaquin Oltra Hernandez <span dir="ltr"><<a href="mailto:jhernandez@wikimedia.org" target="_blank">jhernandez@wikimedia.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>tl;dr: performance.now accuracy decreased, SharedArrayBuffer disabled in all browsers </div><div><br></div>There were recently two very serious security vulnerabilities disclosed (<a href="https://en.wikipedia.org/wiki/Spectre_(security_vulnerability)" target="_blank">Spectre</a> & <a href="https://en.wikipedia.org/wiki/Meltdown_(security_vulnerability)" target="_blank">Meltdown</a>) that affect pretty much anything that can run code on your machine.<div><br></div><div>That includes browsers, so major vendors have started rolling out mitigations for such attacks so that the vulnerabilities can't be exploited from JavaScript. Here is some info in case you haven't followed:</div><div><br></div><div><b>Summary</b></div><div><ul><li>performance.now is going to be rounded to avoid exposing the high precision timer</li><ul><li>to 1ms in Safari, 20µs in Firefox, 20µs with 20µs jitter in Edge, unspecified in Chrome</li></ul><li>SharedArrayBuffer is going to be disabled for now since it can be used to create high precision timers from JS</li></ul><div><b>Articles</b></div></div><div><br></div><div>Here are some articles from the different vendors. The Webkit one is more extensive and has approachable explanations, reasoning and links to commit, and is very interesting to read:</div><div><ul><li><a href="https://webkit.org/blog/8048/what-spectre-and-meltdown-mean-for-webkit/" target="_blank">https://webkit.org/blog/8048/<wbr>what-spectre-and-meltdown-<wbr>mean-for-webkit/</a><br></li><li><a href="https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/" target="_blank">https://blog.mozilla.org/<wbr>security/2018/01/03/<wbr>mitigations-landing-new-class-<wbr>timing-attack/</a><br></li><li><a href="https://www.chromium.org/Home/chromium-security/ssca" target="_blank">https://www.chromium.org/Home/<wbr>chromium-security/ssca</a><br></li><li><a href="https://blogs.windows.com/msedgedev/2018/01/03/speculative-execution-mitigations-microsoft-edge-internet-explorer/" target="_blank">https://blogs.windows.com/<wbr>msedgedev/2018/01/03/<wbr>speculative-execution-<wbr>mitigations-microsoft-edge-<wbr>internet-explorer/</a><br></li></ul><div><b>Conclusion</b></div></div><div><b><br></b></div><div>This changes shouldn't impact us at all in our usual browser work, but it is good to know about the changes of behavior to not be surprised if they do.</div><div><br></div><div>Hope this is useful, have a nice day!</div></div>
<br>______________________________<wbr>_________________<br>
Engineering mailing list<br>
<a href="mailto:Engineering@lists.wikimedia.org">Engineering@lists.wikimedia.<wbr>org</a><br>
<a href="https://lists.wikimedia.org/mailman/listinfo/engineering" rel="noreferrer" target="_blank">https://lists.wikimedia.org/<wbr>mailman/listinfo/engineering</a><br>
<br></blockquote></div><br></div>