moin,
versteh ich das richtig, nur weil ich ein paar Pixel per HTML5 Canvas-Tag schreibe wird daraus wieder JS Code der automatisch vom Browser ausgeführt wird?
Klingt für mich im ersten Moment nach einem Bug im browser der als Sicherheitslücke ausgenutzt werden kann...
Aber ich lass mich gern eines besseren von euch belehren...
danke und gruß
man sind doch alle links dabei. einfach nur dämlich klicken:
http://blog.nihilogic.dk/2008/05/compression-using-canvas-and-png.html
das problem ist viel eher dass doch gzip eine viel höhere kompressionsrate erreicht.
Das wird nicht automatisch ausgeführt, aber es liegt dann vor und kann von anderem Javascript in der HTML-Datei verwendet werden.
( Alternativ: kostenlos registrieren) schrieb:
--------------------------------------------------------------------------------
> das problem ist viel eher dass doch gzip eine viel höhere kompressionsrate
> erreicht.
Jo, ich muß auch fragen was das soll. Mit gz bzw. gz deflate packe ich das Prototype kleiner und komfortabler für den Nutzer wie für mich.
Nja, kann auch ein Proof of Concept sein, aber ein Anwendungsbereich dafür sehe ich nicht.
wie bereits indirekt gesagt wurde : eval() ist (zuallererst) keine Sicherheitslücke. Ich muss zugeben dass ich - bevor ich den Link aufgerufen hab - auch dachte da würde irgendwas gehackt werden
Dann bist du blind. :)
PNG-komprimierter Code ist nur bei der Ausführung im Client dekomprimiert, ansonsten ist er _immer_ komprimiert. Unabhängig vom Server. Vorteil ist bei riesigen Bibliotheken natürlich die Auslieferungsgeschwindigkeit. Der Nachteil ist natürlich die Konvertierung von PNG zu Javascript innerhalb des Browsers. Ein weiterer NAchteil ist später oder auch heute schon, eine neue Möglichkeit den Schadcode zu verstecken. Solange der Scanner nicht weiß wie er das PNG interpretieren muss, kann er nicht anschlagen.
gzip (/zip) und PNG verwenden beide den deflate-Algorithmus und bieten daher auch die gleiche Kompressionsrate.
Da PNG mit Farbpaletten arbeiten kann, wird sich das im Artikel beschriebene Kompressionsverfahren im Vergleich zum gzip-Format nicht besonders viel nehmen.
Arbeitet gzip nicht serverseitig, was hier verboten wäre?
Kredo schrieb:
--------------------------------------------------------------------------------
> Dann bist du blind. :)
'nkay. Für Malware wäre es vllt interessant.
Allerdings denke ich, dass dies' (zukünftig) auch nicht wirklich effektiv ist, da AntiViren-Programme schon Bilder auf Schadcode checken -- wäre ja auch nicht das Erste mal, dass jemand versucht Schadcode dort zu verstecken -- und demzufolge auch 'nen PNG erstmal entpacken.
Quarks schrieb:
--------------------------------------------------------------------------------
> Arbeitet gzip nicht serverseitig, was hier verboten wäre?
Der Server generiert eine HTML-Seite, komprimiert diese mit gzip/compress (sofern der Browser das unterstützt und der Server dementsprechend konfiguriert ist) und sendet diese an den Browser.
Der wiederum entpackt die Seite.
Der für den Wettbewerb relevante Teil (Entpacken) findet im Browser statt. Allerdings gestaltet es sich etwas schwierig, dem Browser ohne Serververbindung die entsprechenden HTML-Header zu präsentieren (wofür man dem Browser was vorgaukeln müsste + das ganze noch auf alle Browser anpassen).
Vergleiche diesen Aufwand mit dem einfachen Entpacken einer PNG-Datei, da wird schnell klar, welches einfacher und kompatibler ist.
Es war ein Contest und eine Machbarkeitsstudie, nicht immer muss alles was man macht, auch einen Sinn haben ;) manchmal hat man auch einfach nur Spaß etwas auszuprobieren. Ich fand es schon sehr obskur, dass sowas überhaupt möglich ist und finde den Programmierer schon sehr kreativ mit seiner Anwendung - am Sinn mag man natürlich zweifeln.
Was redet ihr hier von Schadcode? Wir reden hier von JavaScript. das einzige was JS schadhaft anrichten könnte wäre den Browser mit popups fluten.
JavaScript ist keine komplexe "Sprache" mit der sich Daten ausführen oder Auslesen lassen...
JavaScript ist turing vollständig - im Prinzip kann man damit alles erdenkliche machen - würde der Browser bzw. der JS-Interpreter des Browsers nicht gewisse Grenzen setzen.
Kommentare: 171 | letzter Beitrag 20:42 Uhr
Kommentare: 94 | letzter Beitrag 26.05. 19:45
Kommentare: 77 | letzter Beitrag 20:57 Uhr
Kommentare: 70 | letzter Beitrag 18:56 Uhr
Kommentare: 61 | letzter Beitrag 21:29 Uhr
E-Mail an news@golem.de
Nach der Urteilsverkündung im Rechtsstreit zwischen Youtube und Gema fühlten sich beide Seiten als Gewinner. In Wahrheit gibt es aber nur einen Verlierer, bloggt Medienrechtsexperte Thomas Hoeren: die Gema.
Ein soziales Netzwerk für Pornografie muss seine Marke nicht an Facebook übergeben. Faceporn, ein norwegisches Unternehmen, freut sich über den Sieg vor einem kalifornischen Gericht.
Diablo 3 ist toll, sagen viele Spieler - Diablo 3 ist eine Stimulus-Response-Maschine, sagt Rainer Sigl. Der Blogger und leidenschaftliche Gamer erklärt, warum er sich Blizzards jüngstem Werk verweigert.
Renesas ist nach Elpida der zweite schwer angeschlagene japanische Chiphersteller. Renesas, das Hitachi, Mitsubishi Electric und NEC gehört, macht Verlust und will seine größte Fabrik verkaufen.
RIM soll in den kommenden Tagen erneut einen massiven Stellenabbau ankündigen. "Ich habe herausgefunden, welche Teile ich in meinem Puzzle nicht mehr benötige", sagte Firmenchef Thorsten Heins.
Ein britisches Blog will erfahren haben, dass Facebook den norwegischen Browserhersteller Opera Software kaufen will. Beide Unternehmen wollen sich dazu nicht äußern.