1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Web-Bytecode: Mozilla stellt Online…
  6. Thema

WebAssembly sollte man besser deaktivieren.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: WebAssembly sollte man besser deaktivieren.

    Autor: freebyte 13.04.18 - 00:26

    Suchiman schrieb:
    --------------------------------------------------------------------------------
    > Der blinde Hass aus Mangel an Kenntnis ist schon traurig.

    Das blinde Vertrauen aus Mangel aus Erfahrung auch.

    > Ein Bild aus dem Internet anzuschauen würde niemand als unsicher
    > bezeichnen, weil du ein Programm verwendest, dem du vertraust, welches dir
    > das Bild anzeigt.

    https://www.heise.de/newsticker/meldung/Erste-Exploits-nutzen-JPEG-Sicherheitsluecke-in-Windows-aus-105669.html

    http://winfuture.de/news,95342.html

    > Nichts anderes tut der WebBrowser. Er lädt eine WebAssembly Datei (.wasm),
    > gleiches gilt für Javascript, vom Webserver herunter, verarbeitet die Daten
    > und Anweisungen innerhalb der Datei. Sollte darin vorkommen "verschlüssele
    > alle Dateien", so wird auch der WebBrowser das nicht gestatten.

    http://www.zeit.de/digital/internet/2014-04/sicherheitsluecke-internet-explorer

    https://www.syssec.rub.de/media/emma/veroeffentlichungen/2017/08/16/usenix17-microcode.pdf

    > Hörst du mit der Verwendung von Bildbetrachtern nun auch auf?

    Bei manchen Bildformaten hat es 20 Jahre gedauert, den gängigen Decoder-Libs die letzten Einfallslöcher zu stopfen und ich vermute, dass gerade der TIFF-Container auch heute noch Platz für Überraschungen bietet.

    > Mit Sandkasten in Sandkasten um den bösen Hackern den Spaß an
    > Programmierfehlern zu nehmen

    https://www.javaworld.com/article/2076945/java-security/understanding-the-keys-to-java-security----the-sandbox-and-authentication.html

    Man beachte das Datum der Veröffentlichung und wer das geschrieben hat. Paar Wochen später (für die damalige Zeit "sehr schnell") war der vielgepriesene Bytecode-Verifier ausgehebelt.

    Java-Applets sind auch "Sandkasten im Sandkasten", aber man hat nie die ganzen Einfallstore schliessen können - was zum Tod dieser Technologie geführt hat.

    https://www.duckware.com/tech/java-security-sandbox-tricked-into-granting-full-computer-access-to-applet.html

    Und dieser Prozess wird bei WebAssembly auch stattfinden.

    fb

  2. Re: WebAssembly sollte man besser deaktivieren.

    Autor: freebyte 13.04.18 - 00:38

    BangerzZ schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube du hast WebAssembly nicht verstanden. WebAssembly kann nicht
    > mehr (momentan sogar noch wesentlich weniger) als JavaScript.

    Abwarten. Wenn die Community zum Entschluss kommt, dass WA mehr Probleme löst als Neue zu erzeugen wird der Kern nochmal kräftig und vergleichsweise "schluderig" aufgebohrt sonst heisst es "das Projekt ist tot".

    fb

  3. Re: WebAssembly sollte man besser deaktivieren.

    Autor: twothe 13.04.18 - 09:28

    Flash war sicher, Java-Applets waren sicher, WebAssembly ist auch sicher. Und für alles andere reicht es ja einen aktuellen Virenscanner zu haben.

  4. Re: WebAssembly sollte man besser deaktivieren.

    Autor: FreiGeistler 13.04.18 - 11:08

    TheUnichi schrieb:
    --------------------------------------------------------------------------------
    > My1 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > JS ist für viele sachen nützlich, aber es ist mMn hoffnungslos overused
    > vor allem wenn für vieles (bspw dropdowns) auch CSS geht.
    >
    > Hast du eine Ahnung. Dadurch, dass du display nicht animieren kannst und
    > dir mit allen anderen Tools (visibility, opacity) der Platz des Elements
    > zurückbleibt, kommst du für saubere Animationen eines Dropdowns gar nicht
    > drum rum, JavaScript zu nutzen und mindestens transitionEnd abzufangen.

    Selber :-)
    >Beispiel wies geht.<
    Das könnte man natürlich noch um die transition- oder die animation-property erweitern. Und dann gibts ja noch Media Queries.

  5. Re: WebAssembly sollte man besser deaktivieren.

    Autor: FreiGeistler 13.04.18 - 11:13

    twothe schrieb:
    --------------------------------------------------------------------------------
    > Flash war sicher, Java-Applets waren sicher, WebAssembly ist auch sicher.
    > Und für alles andere reicht es ja einen aktuellen Virenscanner zu haben.

    ?
    Ernsthaft? Das alles auf einem Server?

    Zugegeben, Windows Server 2016 hat sogar noch das XBOX Game Center und den Gamemode drauf.

  6. Re: WebAssembly sollte man besser deaktivieren.

    Autor: My1 13.04.18 - 11:24

    FreiGeistler schrieb:
    --------------------------------------------------------------------------------
    > Selber :-)
    > >Beispiel wies geht.<
    > Das könnte man natürlich noch um die transition- oder die
    > animation-property erweitern. Und dann gibts ja noch Media Queries.

    ich bevorzuge ja dieses, da diese auf klicken statt auf hovern geht.
    https://koen.kivits.com/articles/pure-css-menu/

    Asperger inside(tm)

  7. Re: WebAssembly sollte man besser deaktivieren.

    Autor: Suchiman 13.04.18 - 19:43

    freebyte schrieb:
    --------------------------------------------------------------------------------
    > > Ein Bild aus dem Internet anzuschauen würde niemand als unsicher
    > > bezeichnen, weil du ein Programm verwendest, dem du vertraust, welches
    > dir
    > > das Bild anzeigt.
    >
    > www.heise.de
    >
    > winfuture.de
    Du hast die Kernaussage nicht verstanden: Die meisten Nutzer (und in meiner Annahme auch der Autor) würden es nicht als gefährlich sehen, Bilder zu öffnen. Der Punkt war, dass es eben genauso unsicher ist.

    > > Nichts anderes tut der WebBrowser. Er lädt eine WebAssembly Datei
    > (.wasm),
    > > gleiches gilt für Javascript, vom Webserver herunter, verarbeitet die
    > Daten
    > > und Anweisungen innerhalb der Datei. Sollte darin vorkommen
    > "verschlüssele
    > > alle Dateien", so wird auch der WebBrowser das nicht gestatten.
    Das war ein Vergleich, dass WebBrowser im Vergleich mit dem Bildbetrachter nicht unsicherer / sicherer sind.

    > > Hörst du mit der Verwendung von Bildbetrachtern nun auch auf?
    Wie schon erläutert, gemeint ist dass diese nicht sicherer sind als Browser.

    > > Mit Sandkasten in Sandkasten um den bösen Hackern den Spaß an
    > > Programmierfehlern zu nehmen
    >
    > www.javaworld.com
    >
    > Man beachte das Datum der Veröffentlichung und wer das geschrieben hat.
    > Paar Wochen später (für die damalige Zeit "sehr schnell") war der
    > vielgepriesene Bytecode-Verifier ausgehebelt.
    >
    > Java-Applets sind auch "Sandkasten im Sandkasten", aber man hat nie die
    > ganzen Einfallstore schliessen können - was zum Tod dieser Technologie
    > geführt hat.
    >
    > www.duckware.com
    >
    > Und dieser Prozess wird bei WebAssembly auch stattfinden.
    >
    > fb

    Resume: Nichts ist sicher aber Webassembly ist nicht verhältnismäßig unsicherer um dessen grundlegende Deaktivierung zu fordern.

  8. Re: WebAssembly sollte man besser deaktivieren.

    Autor: freebyte 13.04.18 - 20:21

    Suchiman schrieb:
    --------------------------------------------------------------------------------

    > Resume: Nichts ist sicher aber Webassembly ist nicht verhältnismäßig
    > unsicherer um dessen grundlegende Deaktivierung zu fordern.

    Das habe ich auch nicht unterstellt, aber wenn man die Kollegen "dabbes" und "MingFu" liest die einer Sandbox ein fast schon gottgläubiges Vertrauen schenken.... Das "Sandbox-Versprechen" ist in der Vergangenheit stets gebrochen worden.

    Der Vergleich mit Standalone-Programmen wie dem erwähnten Bildbetrachter ist auch nicht so ganz korrekt: nach Download aus einer akzeptablen Quelle und Installation findet keine Veränderung mehr statt (kann man, macht aber kaum einer) wärend Webcode generell (Html, CSS, JS, Flash...) frisch von Fernquellen nachgeladen wird deren Ursprung und Qualität der eigentliche Seitenbetreiber oftmals (wie bei Werbung) nicht unter seiner Kontolle hat.

    fb

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. thinkproject Deutschland GmbH, Köln, München
  2. Fachhochschule Südwestfalen, Iserlohn
  3. SENSIS GmbH, Viersen bei Mönchengladbach
  4. HETTENBACH GMBH & CO KG, Heilbronn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Star Wars: The Force Unleashed - Ultimate Sith Edition für 4,20€, Star Wars: Knights of...
  2. 23,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de