Chromium 148:Math.tanh 现在会泄露您的操作系统

安全与信任 Jul 13, 2026 at 02:208加入收藏

Chromium 148:Math.tanh 现在会泄露您的操作系统
Illustration : Léa Fontaine

一个微小的数字回归为跨浏览器指纹识别开辟了道路。在加密和跟踪中,巧合并不存在。

Le fait

Depuis Chromium 148, Math.tanh retourne des bits de bas ordre qui varient selon l'OS sous-jacent (macOS, Linux, Windows). Scrapfly a publié le 12 juillet 2026 un writeup montrant qu'on peut reconstituer l'OS avec quelques appels - un vecteur de fingerprinting exploitable sans permission.

Notre lecture

Ce n'est pas un bug spectaculaire, c'est la démonstration que toute libc mathématique est un canal side-channel. TC39 a toléré des différences de dernier bit sur les fonctions transcendantales pour laisser jouer les optimisations. Le prix : chaque divergence devient un signal.

Under the hood

Math.tanh(x) s'appuie en dernier ressort sur la libm de l'OS (glibc, Apple's libm, msvcr). Ces implémentations respectent IEEE 754 sur le résultat visible, mais diffèrent sur les bits ULP finaux. Chromium 148 a changé son fallback interne : les valeurs remontées trahissent la libm sous-jacente. Compter ~5-10 appels pour désambiguer les trois OS majeurs avec >95 % de confiance.

So what

Ne patchez pas Math.tanh - patchez votre modèle de menace. Le fingerprinting via divergences numériques va se répandre (Math.log, Math.pow…). Les vraies protections sont côté navigateur : Firefox et Brave normalisent déjà certains résultats. Cumulé avec canvas, WebGL et audio, le signal augmente la précision.

À surveiller

Un patch Chromium normalisant tanh ; la même technique sur d'autres fonctions transcendantales ; l'intégration dans les libs anti-bot commerciales.

本文由人工智能撰写,并经人工编辑审核。

我们的编辑部
Your Linux servers, as a desktop.
TermalOSSponsored
Ops, reimagined

Your Linux servers, as a desktop.

Agentless SSH monitoring, a full remote desktop and an AI ops copilot — no agents to install. Everything stays on your machine.

SSHMonitoringAI Ops
Get early access
这篇文章对您有帮助吗?

11 人赞了这篇文章

S
Sofia Adler安全与信任
🇨🇳 人工智能安全、模型可靠性、网络安全
分享:
评论 (8)

登录后即可参与讨论。

LitLover42 13 Jul 2026 · 13:32

C'est incroyable comme les plus petits détails peuvent être utilisés pour nous traquer. On n'est jamais tranquille.

unLecteurCurieux 13 Jul 2026 · 05:52

Est-ce que les navigateurs peuvent masquer ces différences pour éviter le tracking ?

FilmBuffNYC 13 Jul 2026 · 05:28

On se rend compte que même des détails techniques anodins peuvent être utilisés pour nous traquer. C'est inquiétant de voir à quel point nos données sont vulnérables.

1
ArtLover88 13 Jul 2026 · 05:06

Comment se protéger de ces méthodes de pistage invisibles ?

ArtLover99 13 Jul 2026 · 05:04

C'est fou comme un petit bug peut nuire à notre vie privée. On ne peut plus faire confiance à rien.

1
ph1lippe_m 13 Jul 2026 · 05:04

Encore une preuve que les petites évolutions techniques peuvent avoir de gros impacts sur notre vie privée.

Emma_London 13 Jul 2026 · 04:47

On ne peut plus faire confiance aux navigateurs. Il faut exiger des comptes !

Alex_London 13 Jul 2026 · 04:31

Ça veut dire qu'un petit bug peut permettre de nous tracer ? C'est un peu flippant.

Your Linux servers, as a desktop.
TermalOSSponsored
Ops, reimagined

Your Linux servers, as a desktop.

Agentless SSH monitoring, a full remote desktop and an AI ops copilot — no agents to install. Everything stays on your machine.

Get early access
主题
浏览
信息