1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Mozilla: Firefox beschleunigt…

WebAssembly ist überflüssig und gefährlich.

  1. Thema

Neues Thema Ansicht wechseln


  1. WebAssembly ist überflüssig und gefährlich.

    Autor: Sinnfrei 06.07.18 - 15:36

    Der nutzen ist gering, und die Angriffsfläche wird immens erhört. Es ist nur eine Frage der Zeit bis Systeme massenweise über diese Weg infiziert werden. Man kann eigentlich nur empfehlen das zu deaktivieren. Und ich verstehe nicht wieso Seiten wie Golem nicht darauf hinweisen.

    __________________
    ...

  2. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: sambache 06.07.18 - 15:52

    Golem weist nicht garauf hin, weil das Blödsinn ist, was du schreibst.

    WebAssembly ist nicht mehr oder weniger gefährlich als Javascript.

    Nur dass es weniger CPU und weniger RAM benötigt und man besseres Tooling zum Entwickeln verwenden kann.

    Der Nutzen ist also enorm (für Entwickler und User), die Angriffsfläche bleibt gleich.

    Deinen Name ist anscheind Programm ;-)



    2 mal bearbeitet, zuletzt am 06.07.18 15:55 durch sambache.

  3. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: Mingfu 06.07.18 - 15:53

    Wie erhöht sich da die Angriffsfläche? Das ist einfach nur Bytecode für eine virtuelle Maschine - vergleichbar zu Java. Man kann damit aber nichts machen, was nicht auch in JavaScript möglich wäre. Der Vorteil liegt lediglich darin, dass der Bytecode deutlich kompakter als JavaScript ist und dass innerhalb der virtuellen Maschine die Variablen typisiert sind, was entsprechend performanten Code zulässt. Durch die überschaubare Anzahl und den einfachen Aufbau der Befehle sind die Angriffsvektoren sogar ziemlich beschränkt.

  4. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: Sinnfrei 06.07.18 - 15:55

    So zum Beispiel: Drive-by Key-Extraction Cache Attacks from Portable Code ...

    __________________
    ...

  5. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: sambache 06.07.18 - 16:04

    Die Timingattacken sind aber nicht das Problem von WebAssembly, oder ?
    Dann wäre ja C oder Assembler ultra-hoch-gefährlich,

  6. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: Mingfu 06.07.18 - 16:14

    Taugt nicht wirklich als Argument, weil schon in der Einleitung steht, dass solche timing-basierten Seitenkanalangriffe in der Vergangenheit bereits mit JavaScript umgesetzt wurden. Webassembly erlaubt lediglich noch feinere Angriffe in dieser Richtung. Wobei ich es dafür nicht einmal als Voraussetzung ansehen würde, weil die Browserhersteller beständig dabei sind, JavaScript-Code weiter zu optimieren und schneller auszuführen. Damit ist auch bei normalem JavaScript zu befürchten, dass immer feinere Timing-Angriffe möglich werden.

  7. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: nikeee13 06.07.18 - 16:25

    Das Argument der höheren Angriffsfläche ist valide. Prinzipiell sorgt jede neue Funktionalität für mehr Komplexität, somit zu höherer Fehleranfälligkeit und letztendlich auch zu Sicherheitslücken. Falsch ist es deshalb nicht, das zu sagen. Die Frage hier ist eher, wie viel die Komplexität erhöht im Vergleich zum Nutzen ist.

    Da bei der Standardisierung von WASM quasi alle großen Player dabei waren wird die Sprachspezifikation aufgrund deren Erfahrung mit solchen Formaten wohl nicht viel Raum für Fehler lassen. Problematisch wird es dann eher mit Timing-Attacken oder Dingen wie Cryptojackern und Rowhammer.



    1 mal bearbeitet, zuletzt am 06.07.18 16:32 durch nikeee13.

  8. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: Sinnfrei 06.07.18 - 18:04

    Doch, denn das funktioniert nur weil WebAssembly so schnell ist. Genauso haben die Threads für WebAssembly auf Eis gelegt, weil sich damit wohl der Meltdown und Spectre Schutz der Browser umgehen lässt.

    __________________
    ...

  9. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: zZz 06.07.18 - 19:56

    Sinnfrei schrieb:
    --------------------------------------------------------------------------------
    > Der nutzen ist gering, und die Angriffsfläche wird immens erhört

    Selbst wenn du Vanilla JavaScript in nach wasm kompilierst, ist der Unterschied bei TTI immens.

  10. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: Anonymer Nutzer 06.07.18 - 20:15

    Sinnfrei schrieb:
    --------------------------------------------------------------------------------
    > Der nutzen ist gering,
    Sagt wer? Sehr viele scheinen es deutlich anders als du zu sehen. Sonst würde man ja in webassembly nicht so viel Arbeit und geld stecken.

    > und die Angriffsfläche wird immens erhört.
    Immens nun nicht wirklich. Und im übrigen wird dem ja mit verschiedenen Maßnahmen entgegen gewirkt.

    > Es ist
    > nur eine Frage der Zeit bis Systeme massenweise über diese Weg infiziert
    > werden.
    Es wird auf diesem weg vermutlich deutlich schwieriger das system zu kompromittieren als auf anderen wegen.

    > Man kann eigentlich nur empfehlen das zu deaktivieren.
    Steht dir ja frei es zu tun.

    > Und ich
    > verstehe nicht wieso Seiten wie Golem nicht darauf hinweisen.
    Eigentlich würde ich sagen das golem weiß das hier meist leute lesen die um eventuelle gefahren eh schon wissen. Aber das Leute etwas eh schon wissen ist für golem ja neuerdings kein grund mehr keinen Artikel drüber zu schreiben. ^^
    Von daher hast du insoweit schon recht das golem über diese Aspekte durchaus berichten könnte. Und vielleicht stellt sich am ende raus das alles doch nicht so supergefährlich ist wie du es versuchst darzustellen.

  11. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: Youssarian 06.07.18 - 21:13

    Über die angebliche Gefährlichkeit wurde ja bereits ausgiebig diskutiert.

    Sinnfrei schrieb:
    > Der nutzen ist gering,

    Im Subject hast Du es sogar als "überflüssig" bezeichnet.

    Magst Du diesen Punkt vielleicht einmal näher erläutern? Wieso sollte WA "überflüssig" sein, wenn es einige Dinge dynamischer Webseiten deutlich beschleunigt? Das kann nicht stimmen.

  12. [gelöscht]

    Autor: [gelöscht] 07.07.18 - 00:19

    [gelöscht]

  13. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: nikeee13 07.07.18 - 09:53

    Sinnfrei schrieb:
    --------------------------------------------------------------------------------
    > Doch, denn das funktioniert nur weil WebAssembly so schnell ist.

    Auf was bezieht sich das "doch"?

  14. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: FreiGeistler 09.07.18 - 08:19

    Was die Timing-Attacken betrifft:
    Für den Firefox empfiehlt das privacy-handbuch folgende about:config-Settinfs zu deaktivieren:
    dom.enable_resource_timing = false
    dom.enable_user_timing = false
    dom.enable_performance = false

    Mit ersterem können Webseiten die performanz der Webseite (oder deines Systems) messen, zum zweiten habe ich nur Anwendungen fürs User-Tracking gefunden.
    Zum dritten habe ich praktisch gar nichts gefunden. Nur ein paar Hinweise fürs tracking.
    Scheinen auch nicht im Mozilla Wiki enthalten zu sein.

    WebGL empfehle ich auch zubdeaktivieren. Grosse Angriffsoberfläche, wird aber praktiscg nur für 3D-Vorschauen in Webstores und einige Onlinegames benötigt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Leiterin / Leiter (m/w/d) IT-Service
    Kreis Paderborn, Paderborn
  2. Mitarbeiter IT Support (m/w/d)
    GK Software SE, Sankt Ingbert
  3. Projektmanager Digitalisierungsmanagement (m/w/d)
    IHK Reutlingen, Reutlingen
  4. PHP-Entwickler (m/w/d)
    Kroschke sign-international GmbH, Braunschweig

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Dorfromantik für 7,19€, Cartel Tycoon für 18,99€ plus jeweils One Finger Death Punch 2...
  2. (u. a. iPad Pro 12,9 Zoll (4. Generation, 2020) Wi-Fi 128GB für 1.049€, MacBook Air M113,3 Zoll...
  3. (u. a. Seagate Expansion+ Portable Festplatte 4TB für 89,90€, LG OLED65BX9LB 65 Zoll OLED (2020...
  4. (u. a. AMD Ryzen 7 5800X für 350,91€, Xiaomi Mi Curved Gaming Monitor 34 Zoll 21:9 UWQHD 144Hz...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Telefon- und Internetanbieter: Was tun bei falschen Auftragsbestätigungen?
Telefon- und Internetanbieter
Was tun bei falschen Auftragsbestätigungen?

Bei Telefon- und Internetanschlüssen kommt es öfter vor, dass Verbraucher Auftragsbestätigungen bekommen, obwohl sie nichts bestellt haben.
Von Harald Büring


    Software-Projekte: Meine Erfahrungen mit einer externen Entwicklerfirma
    Software-Projekte
    Meine Erfahrungen mit einer externen Entwicklerfirma

    Ich versprach mir Hilfe für meine App-Entwicklung. Die externe Entwicklerfirma lieferte aber vor allem Fehler und Ausreden. Was ich daraus gelernt habe.
    Von Rajiv Prabhakar

    1. Feature-Branches Apple versteckt neue iOS-Funktionen vor seinen eigenen Leuten
    2. Entwicklungscommunity Finanzinvestor kauft Stack Overflow für 1,8 Milliarden
    3. Demoszene Von gecrackten Spielen zum Welterbe-Brauchtum

    Ratchet & Clank Rift Apart im Test: Der fast perfekte Sommer-Shooter
    Ratchet & Clank Rift Apart im Test
    Der fast perfekte Sommer-Shooter

    Gute Laune mit großkalibrigen Waffen: Das nur für PS5 erhältliche Ratchet & Clank - Rift Apart schickt uns in knallige Feuergefechte.
    Von Peter Steinlechner

    1. Ratchet & Clank "Auf der PS4 würde man zwei Minuten lang Ladebalken sehen"
    2. Ratchet & Clank Rift Apart Detailreichtum trifft Dimensionssprünge