1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Mozilla: Firefox beschleunigt…

WebAssembly ist überflüssig und gefährlich.

Für Konsolen-Talk gibt es natürlich auch einen Raum ohne nerviges Gedöns oder Flamewar im Freiraum!
  1. Thema

Neues Thema Ansicht wechseln


  1. WebAssembly ist überflüssig und gefährlich.

    Autor: Sinnfrei 06.07.18 - 15:36

    Der nutzen ist gering, und die Angriffsfläche wird immens erhört. Es ist nur eine Frage der Zeit bis Systeme massenweise über diese Weg infiziert werden. Man kann eigentlich nur empfehlen das zu deaktivieren. Und ich verstehe nicht wieso Seiten wie Golem nicht darauf hinweisen.

    __________________
    ...

  2. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: sambache 06.07.18 - 15:52

    Golem weist nicht garauf hin, weil das Blödsinn ist, was du schreibst.

    WebAssembly ist nicht mehr oder weniger gefährlich als Javascript.

    Nur dass es weniger CPU und weniger RAM benötigt und man besseres Tooling zum Entwickeln verwenden kann.

    Der Nutzen ist also enorm (für Entwickler und User), die Angriffsfläche bleibt gleich.

    Deinen Name ist anscheind Programm ;-)



    2 mal bearbeitet, zuletzt am 06.07.18 15:55 durch sambache.

  3. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: Mingfu 06.07.18 - 15:53

    Wie erhöht sich da die Angriffsfläche? Das ist einfach nur Bytecode für eine virtuelle Maschine - vergleichbar zu Java. Man kann damit aber nichts machen, was nicht auch in JavaScript möglich wäre. Der Vorteil liegt lediglich darin, dass der Bytecode deutlich kompakter als JavaScript ist und dass innerhalb der virtuellen Maschine die Variablen typisiert sind, was entsprechend performanten Code zulässt. Durch die überschaubare Anzahl und den einfachen Aufbau der Befehle sind die Angriffsvektoren sogar ziemlich beschränkt.

  4. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: Sinnfrei 06.07.18 - 15:55

    So zum Beispiel: Drive-by Key-Extraction Cache Attacks from Portable Code ...

    __________________
    ...

  5. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: sambache 06.07.18 - 16:04

    Die Timingattacken sind aber nicht das Problem von WebAssembly, oder ?
    Dann wäre ja C oder Assembler ultra-hoch-gefährlich,

  6. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: Mingfu 06.07.18 - 16:14

    Taugt nicht wirklich als Argument, weil schon in der Einleitung steht, dass solche timing-basierten Seitenkanalangriffe in der Vergangenheit bereits mit JavaScript umgesetzt wurden. Webassembly erlaubt lediglich noch feinere Angriffe in dieser Richtung. Wobei ich es dafür nicht einmal als Voraussetzung ansehen würde, weil die Browserhersteller beständig dabei sind, JavaScript-Code weiter zu optimieren und schneller auszuführen. Damit ist auch bei normalem JavaScript zu befürchten, dass immer feinere Timing-Angriffe möglich werden.

  7. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: nikeee13 06.07.18 - 16:25

    Das Argument der höheren Angriffsfläche ist valide. Prinzipiell sorgt jede neue Funktionalität für mehr Komplexität, somit zu höherer Fehleranfälligkeit und letztendlich auch zu Sicherheitslücken. Falsch ist es deshalb nicht, das zu sagen. Die Frage hier ist eher, wie viel die Komplexität erhöht im Vergleich zum Nutzen ist.

    Da bei der Standardisierung von WASM quasi alle großen Player dabei waren wird die Sprachspezifikation aufgrund deren Erfahrung mit solchen Formaten wohl nicht viel Raum für Fehler lassen. Problematisch wird es dann eher mit Timing-Attacken oder Dingen wie Cryptojackern und Rowhammer.



    1 mal bearbeitet, zuletzt am 06.07.18 16:32 durch nikeee13.

  8. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: Sinnfrei 06.07.18 - 18:04

    Doch, denn das funktioniert nur weil WebAssembly so schnell ist. Genauso haben die Threads für WebAssembly auf Eis gelegt, weil sich damit wohl der Meltdown und Spectre Schutz der Browser umgehen lässt.

    __________________
    ...

  9. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: zZz 06.07.18 - 19:56

    Sinnfrei schrieb:
    --------------------------------------------------------------------------------
    > Der nutzen ist gering, und die Angriffsfläche wird immens erhört

    Selbst wenn du Vanilla JavaScript in nach wasm kompilierst, ist der Unterschied bei TTI immens.

  10. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: Anonymer Nutzer 06.07.18 - 20:15

    Sinnfrei schrieb:
    --------------------------------------------------------------------------------
    > Der nutzen ist gering,
    Sagt wer? Sehr viele scheinen es deutlich anders als du zu sehen. Sonst würde man ja in webassembly nicht so viel Arbeit und geld stecken.

    > und die Angriffsfläche wird immens erhört.
    Immens nun nicht wirklich. Und im übrigen wird dem ja mit verschiedenen Maßnahmen entgegen gewirkt.

    > Es ist
    > nur eine Frage der Zeit bis Systeme massenweise über diese Weg infiziert
    > werden.
    Es wird auf diesem weg vermutlich deutlich schwieriger das system zu kompromittieren als auf anderen wegen.

    > Man kann eigentlich nur empfehlen das zu deaktivieren.
    Steht dir ja frei es zu tun.

    > Und ich
    > verstehe nicht wieso Seiten wie Golem nicht darauf hinweisen.
    Eigentlich würde ich sagen das golem weiß das hier meist leute lesen die um eventuelle gefahren eh schon wissen. Aber das Leute etwas eh schon wissen ist für golem ja neuerdings kein grund mehr keinen Artikel drüber zu schreiben. ^^
    Von daher hast du insoweit schon recht das golem über diese Aspekte durchaus berichten könnte. Und vielleicht stellt sich am ende raus das alles doch nicht so supergefährlich ist wie du es versuchst darzustellen.

  11. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: Youssarian 06.07.18 - 21:13

    Über die angebliche Gefährlichkeit wurde ja bereits ausgiebig diskutiert.

    Sinnfrei schrieb:
    > Der nutzen ist gering,

    Im Subject hast Du es sogar als "überflüssig" bezeichnet.

    Magst Du diesen Punkt vielleicht einmal näher erläutern? Wieso sollte WA "überflüssig" sein, wenn es einige Dinge dynamischer Webseiten deutlich beschleunigt? Das kann nicht stimmen.

  12. [gelöscht]

    Autor: [gelöscht] 07.07.18 - 00:19

    [gelöscht]

  13. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: nikeee13 07.07.18 - 09:53

    Sinnfrei schrieb:
    --------------------------------------------------------------------------------
    > Doch, denn das funktioniert nur weil WebAssembly so schnell ist.

    Auf was bezieht sich das "doch"?

  14. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: FreiGeistler 09.07.18 - 08:19

    Was die Timing-Attacken betrifft:
    Für den Firefox empfiehlt das privacy-handbuch folgende about:config-Settinfs zu deaktivieren:
    dom.enable_resource_timing = false
    dom.enable_user_timing = false
    dom.enable_performance = false

    Mit ersterem können Webseiten die performanz der Webseite (oder deines Systems) messen, zum zweiten habe ich nur Anwendungen fürs User-Tracking gefunden.
    Zum dritten habe ich praktisch gar nichts gefunden. Nur ein paar Hinweise fürs tracking.
    Scheinen auch nicht im Mozilla Wiki enthalten zu sein.

    WebGL empfehle ich auch zubdeaktivieren. Grosse Angriffsoberfläche, wird aber praktiscg nur für 3D-Vorschauen in Webstores und einige Onlinegames benötigt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Bayerisches Landesamt für Gesundheit und Lebensmittelsicherheit, München
  2. thinkproject Deutschland GmbH, Essen
  3. über duerenhoff GmbH, München, Stuttgart
  4. HxGN Safety & Infrastructure GmbH, Bonn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme