1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Web-Bytecode: Mozilla stellt Online…

WebAssembly sollte man besser deaktivieren.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. WebAssembly sollte man besser deaktivieren.

    Autor: Sinnfrei 12.04.18 - 13:20

    Das ganze ist ein enormes, vollkommen unnötiges, Sicherheitsrisiko. Eine kurze Anleitung gibt es zum Beispiel da:

    https://github.com/stevespringett/disable-webassembly

    __________________
    ...

  2. Re: WebAssembly sollte man besser deaktivieren.

    Autor: McTristan 12.04.18 - 13:29

    Weil? Also ich meine deine Anleitung zum Ausschalten ist ja schön und gut aber warum ist es unnötig oder gefährlich? Das könntest du hier mal verlinken.

  3. Re: WebAssembly sollte man besser deaktivieren.

    Autor: My1 12.04.18 - 13:52

    wenn du von jemandem einfach mal ne ausführbare datei bekommst, ohne vorher zu wissen wozu die genau gut ist, würdest du die auch einfach ausführen?

    Asperger inside(tm)

  4. Re: WebAssembly sollte man besser deaktivieren.

    Autor: JarJarThomas 12.04.18 - 13:58

    Wenn ich von jemandem eine ausführbare Datei bekomme ...
    ich habe seltenst bisher die Möglichkeit genutzt Programme zu decompilieren und sie mir im Detail anzusehen.

    Und dank modernem Javascript Geschmeiss überall kannst du das auf einer Webseite auch nicht mehr in vertretbarem Aufwand

  5. Re: WebAssembly sollte man besser deaktivieren.

    Autor: My1 12.04.18 - 14:04

    klar decompilern ist noch mal was anderes aber wenn du bspw von ner seite was runterlädst bspw den installer, weißt du was du herunterladen willst und du weißt was es tun sollte.

    wenn du hingegen einen link klickst (der dich sonstwohin werfen kann, gerade dank linkshortenern und co nervig) weißt du nciht im vorraus überhaupt was du denkst herunterzuladen, das ist bei wasm und JS genauso doof.

    JS ist für viele sachen nützlich, aber es ist mMn hoffnungslos overused vor allem wenn für vieles (bspw dropdowns) auch CSS geht.

    und seiten sollten so laufen dass es nicht gleich zum problem wird dass JS warumauchimmer nicht geht (bspw drossel)

    Asperger inside(tm)

  6. Re: WebAssembly sollte man besser deaktivieren.

    Autor: Anonymer Nutzer 12.04.18 - 14:27

    My1 schrieb:
    --------------------------------------------------------------------------------
    > wenn du von jemandem einfach mal ne ausführbare datei bekommst, ohne vorher
    > zu wissen wozu die genau gut ist, würdest du die auch einfach ausführen?

    Klar. In einer sandbox kein problem.

    Und weiter?

  7. Re: WebAssembly sollte man besser deaktivieren.

    Autor: Mingfu 12.04.18 - 14:29

    My1 schrieb:
    --------------------------------------------------------------------------------
    > wenn du von jemandem einfach mal ne ausführbare datei bekommst, ohne vorher
    > zu wissen wozu die genau gut ist, würdest du die auch einfach ausführen?

    WebAssembly läuft in einer Sandbox mit beschränktem API - ebenso wie JavaScript. Die Sicherheit liegt also nicht darin begründet, dass man den Quellcode untersucht, sondern dass der Funktionsumfang beschränkt ist.

    Eigentlich ist WebAssembly nichts anderes als schneller ausführbares JavaScript - allerdings deutlich bescheidener zu debuggen, falls man nur den Bytecode und nicht den Quellcode hat.

  8. Re: WebAssembly sollte man besser deaktivieren.

    Autor: Suchiman 12.04.18 - 14:45

    Der blinde Hass aus Mangel an Kenntnis ist schon traurig.

    Ich versuche es mal zu erklären: Zufällige ausführbare Dateien (.exe, oder ELF binaries, etc.) aus dem Internet runterzuladen und auszuführen ist eine schlechte Idee, weil diese die Möglichkeit haben, alles zu tun was der gegenwärtige Benutzer tun kann, z.b. alle deine Dateien verschlüsseln.

    Ein Bild aus dem Internet anzuschauen würde niemand als unsicher bezeichnen, weil du ein Programm verwendest, dem du vertraust, welches dir das Bild anzeigt. Der Bildbetrachter liest die Datei ein, verarbeitet die Daten und Anweisungen die in dieser enthalten sind um dann die richtigen Pixel in der richtigen Farbe leuchten zu lassen. Wenn in der Datei sowas stehen sollte wie "verschlüssele alle Dateien", dann wird das natürlich nicht getan weil das zählt nicht zur der Sicheren Funktionalität eines Bildbetrachters, auch wenn der Bildbetrachter selbst dazu in der Lage wäre (ist ja schließlich ein Programm das mit deinen Berechtigungen ausgeführt wird).

    Nichts anderes tut der WebBrowser. Er lädt eine WebAssembly Datei (.wasm), gleiches gilt für Javascript, vom Webserver herunter, verarbeitet die Daten und Anweisungen innerhalb der Datei. Sollte darin vorkommen "verschlüssele alle Dateien", so wird auch der WebBrowser das nicht gestatten. Webseiten laufen mit strikten Sicherheitsrichtlinien und die einfachste Definition dieser wäre: Außerhalb des Browsers gibt es keinen Zugriff. Es gibt ein paar Möglichkeiten mehr zu tun als das, weil WebApps sonst sehr beschränkt wären. Zum Beispiel kann die Anwendung im WebBrowser (ohne die berechtigungen zufällige Dateien zu lesen) den Browser bitten (der das kann) den Nutzer zu fragen, eine Datei auszuwählen, welche dann innerhalb des Browser Sandkasten zur Verfügung gestellt wird.

    Natürlich ist nichts absolut sicher weil Programmierfehler auftreten, besonders in unsicheren Programmiersprachen wie C und C++ (z.B. Buffer Overflows). Dann ist es unter umständen möglich, mit der richtigen Kombination von Programmierfehlern, mehr Berechtigungen zu erschleichen als das Programm im Programm haben sollte. So könnte ein Fehler im Bildbetrachter mit einem speziell gestalteten Bild dazu gebracht wird, cmd.exe zu öffnen und alle deine Dokumente zu löschen. Selbes für Word, Excel, dem Browser, jedem Programm.

    Hörst du mit der Verwendung von Bildbetrachtern nun auch auf? Am besten hörst du auf Computer zu verwenden, um sicher zu gehen.

    WebBrowser die natürlich Verbindungen mit zufälligen Seiten im Internet aufbauen stehen dort natürlich besonders im Fokus, da du denen am ehesten eine bösartig manipulierte Datei unterschieben kannst. Allerdings gelten WebBrowser jetzt nicht generall als unsicher, oder? Da sitzen schlaue Köpfe dran die nichts anderes zu tun haben, als das zu verhindern. Mit Sandkasten in Sandkasten um den bösen Hackern den Spaß an Programmierfehlern zu nehmen

  9. Re: WebAssembly sollte man besser deaktivieren.

    Autor: BangerzZ 12.04.18 - 14:48

    My1 schrieb:
    --------------------------------------------------------------------------------
    > wenn du von jemandem einfach mal ne ausführbare datei bekommst, ohne vorher
    > zu wissen wozu die genau gut ist, würdest du die auch einfach ausführen?

    Ich glaube du hast WebAssembly nicht verstanden. WebAssembly kann nicht mehr (momentan sogar noch wesentlich weniger) als JavaScript.

  10. Re: WebAssembly sollte man besser deaktivieren.

    Autor: motzerator 12.04.18 - 17:07

    McTristan schrieb:
    ------------------------------
    > Weil? Also ich meine deine Anleitung zum Ausschalten ist ja schön und gut
    > aber warum ist es unnötig oder gefährlich? Das könntest du hier mal
    > verlinken.

    Dazu reicht doch eigentlich ein wenig Logik aus. Dieses Webassembly läd
    Code von einer Webseite und führt diesen aus.

    Da es keine Software gibt, die 100% fehlerfrei ist, wird auch Webassembly
    beziehungsweise dessen Implementation in Browsern Fehler haben und
    somit ein Sicherheitsrisiko darstellen.

  11. Re: WebAssembly sollte man besser deaktivieren.

    Autor: My1 12.04.18 - 17:09

    das problem ist aber dass es gerade dank JS flash java und allem, was ausführbarer code ist primär die codeexecution außerhalb der sandbox kommt.

    Asperger inside(tm)

  12. Re: WebAssembly sollte man besser deaktivieren.

    Autor: motzerator 12.04.18 - 17:11

    Prinzeumel schrieb:
    ---------------------------------
    > Klar. In einer sandbox kein problem.

    Eine Sandbox ist nicht 100% sicher und da zumindest alle Nutzer eines Browsers die gleiche Sandbox haben, werden sich die Leute mit Bösen Absichten genau darauf konzentrieren, diese Sandbox zu überwinden und sie werden es mit sehr großer Wahrscheinlichkeit früher oder später schaffen.

    Dann gilt beispielsweise:

    Webassembly aktiv: Daten trojanisch verschlüsselt
    Webassembley deaktiviert: Daten OK



    1 mal bearbeitet, zuletzt am 12.04.18 17:14 durch motzerator.

  13. FUD

    Autor: dabbes 12.04.18 - 17:33

    oder kommen da noch Argumente die deine Weisheit untermauern?

    Du bekommst keine ausführbaren Dateien und es können auch nur die Schnittstellen des Browsers genutzt werden.

    Dass grundlegend natürlich Bugs drin sein können bestreitet niemand.

  14. Re: WebAssembly sollte man besser deaktivieren.

    Autor: TheUnichi 12.04.18 - 19:30

    My1 schrieb:
    --------------------------------------------------------------------------------
    > JS ist für viele sachen nützlich, aber es ist mMn hoffnungslos overused vor
    > allem wenn für vieles (bspw dropdowns) auch CSS geht.

    Hast du eine Ahnung. Dadurch, dass du display nicht animieren kannst und dir mit allen anderen Tools (visibility, opacity) der Platz des Elements zurückbleibt, kommst du für saubere Animationen eines Dropdowns gar nicht drum rum, JavaScript zu nutzen und mindestens transitionEnd abzufangen.

    Weiterhin wird JavaScript nicht nur im Browser verwendet, sondern auch z.B. in der Node.js-Umgebung, wo es sehr viele gute und interessante Anwendungsfälle hat (Beispiel: React Native. Nicht dumm rumlabern, selbst angucken und testen.)

    So wie ich es verstanden habe, kannst du mit WASM in etwa genau das tun, was du auch mit JavaScript kannst (zumal die Runtime selbst innerhalb von JavaScript läuft), dann erklär mir mal bitte, was für einen großen Unsinn man so anstellen kann bitte.

  15. Re: WebAssembly sollte man besser deaktivieren.

    Autor: xMarwyc 12.04.18 - 19:57

    motzerator schrieb:
    --------------------------------------------------------------------------------
    > Prinzeumel schrieb:
    > ---------------------------------
    > > Klar. In einer sandbox kein problem.
    >
    > Eine Sandbox ist nicht 100% sicher und da zumindest alle Nutzer eines
    > Browsers die gleiche Sandbox haben, werden sich die Leute mit Bösen
    > Absichten genau darauf konzentrieren, diese Sandbox zu überwinden und sie
    > werden es mit sehr großer Wahrscheinlichkeit früher oder später schaffen.
    >
    > Dann gilt beispielsweise:
    >
    > Webassembly aktiv: Daten trojanisch verschlüsselt
    > Webassembley deaktiviert: Daten OK

    Jo okay, nach deiner Logik benutzen wir einfach alle keine Software mehr. Ist ja unsicher. Gehst du auch nicht vor die Tür? Könntest ja überfahren werden.
    Meine Fresse, sowas hinrissiges...



    1 mal bearbeitet, zuletzt am 12.04.18 19:58 durch xMarwyc.

  16. Re: WebAssembly sollte man besser deaktivieren.

    Autor: Tuxgamer12 12.04.18 - 21:39

    motzerator schrieb:
    --------------------------------------------------------------------------------
    > Dazu reicht doch eigentlich ein wenig Logik aus. Dieses Webassembly läd
    > Code von einer Webseite und führt diesen aus.
    >
    > Da es keine Software gibt, die 100% fehlerfrei ist, wird auch Webassembly
    > beziehungsweise dessen Implementation in Browsern Fehler haben und
    > somit ein Sicherheitsrisiko darstellen.

    Jetzt hast du 2 Möglichkeiten:

    * Du erkläst uns überzeugend, wieso Webassembly unsicherer ist als Javascript (läd offensichtlich auch Code von einer Website und führt diesen aus)

    * Du sagst noch dazu: Und Javascript stellt gleiches Sicherheitsrisiko da und sollte deshalb auch deaktiviert werden

  17. Re: WebAssembly sollte man besser deaktivieren.

    Autor: Anonymer Nutzer 12.04.18 - 21:41

    motzerator schrieb:
    --------------------------------------------------------------------------------
    > McTristan schrieb:
    > ------------------------------
    > > Weil? Also ich meine deine Anleitung zum Ausschalten ist ja schön und
    > gut
    > > aber warum ist es unnötig oder gefährlich? Das könntest du hier mal
    > > verlinken.
    >
    > Dazu reicht doch eigentlich ein wenig Logik aus. Dieses Webassembly läd
    > Code von einer Webseite und führt diesen aus.
    >
    > Da es keine Software gibt, die 100% fehlerfrei ist, wird auch Webassembly
    > beziehungsweise dessen Implementation in Browsern Fehler haben und
    > somit ein Sicherheitsrisiko darstellen.
    Ja, ich merke schon, hier sind wieder echte Experten unterwegs.
    Wie wäre es vielleicht sich mal ansatzweise über das zu informieren bei dem man mitreden und so tun will als wüsste man wovon man da redet?

    Wer so große angst hat darf zukünftig keinerlei datei aus dem Internet laden welche durch ein anderes Programm interpretiert wird.
    Keine bilder, keine audio, keine dokumente, kein pdf, kein nix...nur noch .txt und auch da vorsichtig sein mit was man die öffnet...
    Am besten stecker ziehen und ab in ein erdloch.

  18. Re: WebAssembly sollte man besser deaktivieren.

    Autor: My1 12.04.18 - 21:45

    ich sagte vieles, nicht alles. und man muss nicht jeden mist animieren, gerade bei mobilseiten.

    Asperger inside(tm)

  19. Re: WebAssembly sollte man besser deaktivieren.

    Autor: My1 12.04.18 - 21:47

    naja aber elemente die offensichtlich ausführbaren code enthalten, wie bspw n wordfile mit makros, skripte und so weiter sind da schon gefährlicher als n bild, vor allem da mit guten speichermanagement und w^x das system bspw weiß dass das daten sind und keine anwendung und das nicht ausgeführt werden darf.

    Asperger inside(tm)

  20. Re: WebAssembly sollte man besser deaktivieren.

    Autor: Hello_World 12.04.18 - 21:48

    Suchiman schrieb:
    --------------------------------------------------------------------------------

    > WebBrowser die natürlich Verbindungen mit zufälligen Seiten im Internet
    > aufbauen stehen dort natürlich besonders im Fokus, da du denen am ehesten
    > eine bösartig manipulierte Datei unterschieben kannst. Allerdings gelten
    > WebBrowser jetzt nicht generall als unsicher, oder?
    Webbrowser _sind_ unsicher. Es wäre grob fahrlässig, einen Rechner mit Browser und Internetzugang für irgendetwas wirklich wichtiges zu verwenden, das ist leider heute der Stand der Technik. Und selbst wenn man die Software irgendwann hinreichend weit abgedichtet bekommt, so gibt es immer noch Hardware-Bugs. In jüngerer Zeit Meltdown und Spectre, davor Rowhammer. Und es kommt immer wieder zu Fällen, in denen APIs eingeführt wurden, die man für harmlos hielt und die sich dann doch in Hinblick auf die Privatsphäre als problematisch erwiesen haben: canvas, WebRTC, Batterie, Audio, Lagesensor. Mit allen konnte man auf die eine oder andere Weise spionieren oder zumindest tracken.
    Und klar, für manche Anwender dürfte der Nutzen das Risiko überwiegen, vielleicht sogar für die Mehrheit. Aber ist das ganze Zeug deswegen sicher? Nö, nicht ansatzweise.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Eppendorf AG, Hamburg
  2. über duerenhoff GmbH, Düsseldorf
  3. pd digital Hub GmbH, Augsburg
  4. Schwarz Dienstleistung KG, Raum Neckarsulm

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 299,90€
  2. (u. a. Crysis 3 für 4,99€, Battlefield 4 für 4,99€, Titanfall 2 für 4,99€)
  3. (u. a. 3er Pack Lüfter LL120 RGB für 102,90€, Crystal 680X RGB Gehäuse für 249,90€)
  4. (u. a. Switch + Just Dance 2020 für 339,98€, Switch + FIFA 20 für 336,90€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Frauen in der Technik: Von wegen keine Vorbilder!
Frauen in der Technik
Von wegen keine Vorbilder!

Technik, also auch Computertechnik, war schon immer ein männlich dominiertes Feld. Das heißt aber nicht, dass es in der Geschichte keine bedeutenden Programmiererinnen gab. Besonders das Militär zeigte reges Interesse an den Fähigkeiten von Frauen.
Von Valerie Lux

  1. Arbeit Warum anderswo mehr Frauen IT-Berufe ergreifen
  2. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  3. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig

Data Scientist: Ein Mann, der mit Daten Leben retten will
Data Scientist
Ein Mann, der mit Daten Leben retten will

Senfgelbes Linoleum im Büro und weniger Geld als in der freien Wirtschaft - egal, der Data Scientist Danilo Schmidt liebt seinen Job an der Charité. Mit Ärzten entwickelt er Lösungen für Patienten. Die größten Probleme dabei: Medizinersprech und Datenschutz.
Ein Porträt von Maja Hoock

  1. Computerlinguistik "Bordstein Sie Ihre Erwartung!"
  2. OpenAI Roboterarm löst Zauberwürfel einhändig
  3. Faceapp Russische App liegt im Trend und entfacht Datenschutzdebatte

Leistungsschutzrecht: Drei Wörter sollen ...
Leistungsschutzrecht
Drei Wörter sollen ...

Der Vorschlag der Bundesregierung für das neue Leistungsschutzrecht stößt auf Widerstand bei den Verlegerverbänden. Ãœberschriften mit mehr als drei Wörtern und Vorschaubilder sollen lizenzpfichtig sein. Dabei wenden die Verlage einen sehr auffälligen Argumentationstrick an.
Eine Analyse von Friedhelm Greis

  1. Leistungsschutzrecht Memes sollen nur noch 128 mal 128 Pixel groß sein
  2. Leistungsschutzrecht Französische Verlage reichen Beschwerde gegen Google ein
  3. Leistungsschutzrecht Französische Medien beschweren sich über Google

  1. Elenion Technologies: Nokia übernimmt US-Experten für Siliziumphotonik
    Elenion Technologies
    Nokia übernimmt US-Experten für Siliziumphotonik

    Nokia kauft ein New Yorker Unternehmen, das im Bereich Siliziumphotonik aktiv ist. Die Produkte sind für 5G-, Cloud- und Rechenzentrumsnetzwerke einsetzbar, es geht um die tiefere Integration bei der Umwandlung von Licht zu elektrischen Signalen.

  2. Spielestreaming: Google Stadia funktioniert auch mit Smartphones von Samsung
    Spielestreaming
    Google Stadia funktioniert auch mit Smartphones von Samsung

    Der Spielestreamingdienst Stadia von Google unterstützt künftig auch einige Smartphones von Razer und Asus, vor allem aber viele neuere Geräte von Samsung - inklusive der gerade erst vorgestellten Galaxy-S20-Reihe.

  3. EU-Kommission: Zehn Datenräume für die digitale Zukunft Europas
    EU-Kommission
    Zehn Datenräume für die digitale Zukunft Europas

    Die EU-Kommission unter Ursula von der Leyen will mit einer neuen Digitalstrategie europäische Daten besser nutzbar machen. Wie die vollmundigen Ankündigungen konkret umgesetzt werden, ist aber noch offen.


  1. 19:08

  2. 17:21

  3. 16:54

  4. 16:07

  5. 15:43

  6. 15:23

  7. 15:00

  8. 14:45