1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Mozilla: Firefox beschleunigt…

WebAssembly ist überflüssig und gefährlich.

  1. Thema

Neues Thema Ansicht wechseln


  1. WebAssembly ist überflüssig und gefährlich.

    Autor: Sinnfrei 06.07.18 - 15:36

    Der nutzen ist gering, und die Angriffsfläche wird immens erhört. Es ist nur eine Frage der Zeit bis Systeme massenweise über diese Weg infiziert werden. Man kann eigentlich nur empfehlen das zu deaktivieren. Und ich verstehe nicht wieso Seiten wie Golem nicht darauf hinweisen.

    __________________
    ...

  2. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: sambache 06.07.18 - 15:52

    Golem weist nicht garauf hin, weil das Blödsinn ist, was du schreibst.

    WebAssembly ist nicht mehr oder weniger gefährlich als Javascript.

    Nur dass es weniger CPU und weniger RAM benötigt und man besseres Tooling zum Entwickeln verwenden kann.

    Der Nutzen ist also enorm (für Entwickler und User), die Angriffsfläche bleibt gleich.

    Deinen Name ist anscheind Programm ;-)



    2 mal bearbeitet, zuletzt am 06.07.18 15:55 durch sambache.

  3. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: Mingfu 06.07.18 - 15:53

    Wie erhöht sich da die Angriffsfläche? Das ist einfach nur Bytecode für eine virtuelle Maschine - vergleichbar zu Java. Man kann damit aber nichts machen, was nicht auch in JavaScript möglich wäre. Der Vorteil liegt lediglich darin, dass der Bytecode deutlich kompakter als JavaScript ist und dass innerhalb der virtuellen Maschine die Variablen typisiert sind, was entsprechend performanten Code zulässt. Durch die überschaubare Anzahl und den einfachen Aufbau der Befehle sind die Angriffsvektoren sogar ziemlich beschränkt.

  4. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: Sinnfrei 06.07.18 - 15:55

    So zum Beispiel: Drive-by Key-Extraction Cache Attacks from Portable Code ...

    __________________
    ...

  5. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: sambache 06.07.18 - 16:04

    Die Timingattacken sind aber nicht das Problem von WebAssembly, oder ?
    Dann wäre ja C oder Assembler ultra-hoch-gefährlich,

  6. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: Mingfu 06.07.18 - 16:14

    Taugt nicht wirklich als Argument, weil schon in der Einleitung steht, dass solche timing-basierten Seitenkanalangriffe in der Vergangenheit bereits mit JavaScript umgesetzt wurden. Webassembly erlaubt lediglich noch feinere Angriffe in dieser Richtung. Wobei ich es dafür nicht einmal als Voraussetzung ansehen würde, weil die Browserhersteller beständig dabei sind, JavaScript-Code weiter zu optimieren und schneller auszuführen. Damit ist auch bei normalem JavaScript zu befürchten, dass immer feinere Timing-Angriffe möglich werden.

  7. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: nikeee13 06.07.18 - 16:25

    Das Argument der höheren Angriffsfläche ist valide. Prinzipiell sorgt jede neue Funktionalität für mehr Komplexität, somit zu höherer Fehleranfälligkeit und letztendlich auch zu Sicherheitslücken. Falsch ist es deshalb nicht, das zu sagen. Die Frage hier ist eher, wie viel die Komplexität erhöht im Vergleich zum Nutzen ist.

    Da bei der Standardisierung von WASM quasi alle großen Player dabei waren wird die Sprachspezifikation aufgrund deren Erfahrung mit solchen Formaten wohl nicht viel Raum für Fehler lassen. Problematisch wird es dann eher mit Timing-Attacken oder Dingen wie Cryptojackern und Rowhammer.



    1 mal bearbeitet, zuletzt am 06.07.18 16:32 durch nikeee13.

  8. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: Sinnfrei 06.07.18 - 18:04

    Doch, denn das funktioniert nur weil WebAssembly so schnell ist. Genauso haben die Threads für WebAssembly auf Eis gelegt, weil sich damit wohl der Meltdown und Spectre Schutz der Browser umgehen lässt.

    __________________
    ...

  9. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: zZz 06.07.18 - 19:56

    Sinnfrei schrieb:
    --------------------------------------------------------------------------------
    > Der nutzen ist gering, und die Angriffsfläche wird immens erhört

    Selbst wenn du Vanilla JavaScript in nach wasm kompilierst, ist der Unterschied bei TTI immens.

  10. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: Anonymer Nutzer 06.07.18 - 20:15

    Sinnfrei schrieb:
    --------------------------------------------------------------------------------
    > Der nutzen ist gering,
    Sagt wer? Sehr viele scheinen es deutlich anders als du zu sehen. Sonst würde man ja in webassembly nicht so viel Arbeit und geld stecken.

    > und die Angriffsfläche wird immens erhört.
    Immens nun nicht wirklich. Und im übrigen wird dem ja mit verschiedenen Maßnahmen entgegen gewirkt.

    > Es ist
    > nur eine Frage der Zeit bis Systeme massenweise über diese Weg infiziert
    > werden.
    Es wird auf diesem weg vermutlich deutlich schwieriger das system zu kompromittieren als auf anderen wegen.

    > Man kann eigentlich nur empfehlen das zu deaktivieren.
    Steht dir ja frei es zu tun.

    > Und ich
    > verstehe nicht wieso Seiten wie Golem nicht darauf hinweisen.
    Eigentlich würde ich sagen das golem weiß das hier meist leute lesen die um eventuelle gefahren eh schon wissen. Aber das Leute etwas eh schon wissen ist für golem ja neuerdings kein grund mehr keinen Artikel drüber zu schreiben. ^^
    Von daher hast du insoweit schon recht das golem über diese Aspekte durchaus berichten könnte. Und vielleicht stellt sich am ende raus das alles doch nicht so supergefährlich ist wie du es versuchst darzustellen.

  11. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: Youssarian 06.07.18 - 21:13

    Über die angebliche Gefährlichkeit wurde ja bereits ausgiebig diskutiert.

    Sinnfrei schrieb:
    > Der nutzen ist gering,

    Im Subject hast Du es sogar als "überflüssig" bezeichnet.

    Magst Du diesen Punkt vielleicht einmal näher erläutern? Wieso sollte WA "überflüssig" sein, wenn es einige Dinge dynamischer Webseiten deutlich beschleunigt? Das kann nicht stimmen.

  12. [gelöscht]

    Autor: [gelöscht] 07.07.18 - 00:19

    [gelöscht]

  13. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: nikeee13 07.07.18 - 09:53

    Sinnfrei schrieb:
    --------------------------------------------------------------------------------
    > Doch, denn das funktioniert nur weil WebAssembly so schnell ist.

    Auf was bezieht sich das "doch"?

  14. Re: WebAssembly ist überflüssig und gefährlich.

    Autor: FreiGeistler 09.07.18 - 08:19

    Was die Timing-Attacken betrifft:
    Für den Firefox empfiehlt das privacy-handbuch folgende about:config-Settinfs zu deaktivieren:
    dom.enable_resource_timing = false
    dom.enable_user_timing = false
    dom.enable_performance = false

    Mit ersterem können Webseiten die performanz der Webseite (oder deines Systems) messen, zum zweiten habe ich nur Anwendungen fürs User-Tracking gefunden.
    Zum dritten habe ich praktisch gar nichts gefunden. Nur ein paar Hinweise fürs tracking.
    Scheinen auch nicht im Mozilla Wiki enthalten zu sein.

    WebGL empfehle ich auch zubdeaktivieren. Grosse Angriffsoberfläche, wird aber praktiscg nur für 3D-Vorschauen in Webstores und einige Onlinegames benötigt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Executive Customer Solution Architect (m/w/d) mit Fokus auf Security
    Vodafone GmbH, Düsseldorf, Eschborn, Dresden, Hamburg, Unterföhring
  2. IT-Administrator*in (m/w/d)
    Possehl Spezialbau GmbH, Sprendlingen (Home-Office)
  3. Digital Officer (m/w/d)
    Richter-Helm BioLogics GmbH & Co. KG, Hamburg
  4. Entwickler Elektronik und Kommunikationstechnik (IoT) (m/w/d)
    Gratz Engineering GmbH, Stuttgart

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 149€ oder 139€ bei Newsletter-Anmeldung (Bestpreis mit Amazon (149€). Vergleichspreis 219...
  2. 2,99€
  3. 5,99€
  4. 379€ (Vergleichspreis 415,38€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Dragonbox-Pyra-Macher im Interview: Die Linux-Spielekonsole aus Deutschland
Dragonbox-Pyra-Macher im Interview
Die Linux-Spielekonsole aus Deutschland

Mit viel Verspätung ist die Dragonbox Pyra erschienen. Entwickler Michael Mrozek musste ganz schön kämpfen, damit es überhaupt dazu kam. Wir haben ihn in Ingolstadt zum Gespräch getroffen.
Ein Interview von Martin Wolf


    Kryptominer in Anti-Virensoftware: Norton 360 jetzt noch sinnloser
    Kryptominer in Anti-Virensoftware
    Norton 360 jetzt noch sinnloser

    Als wäre Antiviren-Software wie Norton 360 nicht schon sinnlos genug, preist diese nun auch Kryptomining an. Sicherheit bringt das nicht.
    Ein IMHO von Moritz Tremmel und Sebastian Grüner

    1. Kryptowährungen 69 Millionen US-Dollar für NFT eines digitalen Kunstwerks
    2. Kryptokunst Schlechte Idee, NFT

    Early Access: Spielerisch wertvolle Baustellen
    Early Access
    Spielerisch wertvolle Baustellen

    Vor allen anderen spielen, bei der Entwicklung mitmachen: Golem.de stellt besonders spannende Early-Access-Neuheiten vor.
    Von Rainer Sigl

    1. Hype auf Steam Mehr als 500.000 Menschen spielen Valheim
    2. Hype auf Steam Warum ist Valheim eigentlich so beliebt?
    3. Nur für echte Gamer Die besten Spiele-Geheimtipps 2020