1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Web-Bytecode: Mozilla stellt Online…
  6. Thema

WebAssembly sollte man besser deaktivieren.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: WebAssembly sollte man besser deaktivieren.

    Autor: freebyte 13.04.18 - 00:26

    Suchiman schrieb:
    --------------------------------------------------------------------------------
    > Der blinde Hass aus Mangel an Kenntnis ist schon traurig.

    Das blinde Vertrauen aus Mangel aus Erfahrung auch.

    > Ein Bild aus dem Internet anzuschauen würde niemand als unsicher
    > bezeichnen, weil du ein Programm verwendest, dem du vertraust, welches dir
    > das Bild anzeigt.

    https://www.heise.de/newsticker/meldung/Erste-Exploits-nutzen-JPEG-Sicherheitsluecke-in-Windows-aus-105669.html

    http://winfuture.de/news,95342.html

    > Nichts anderes tut der WebBrowser. Er lädt eine WebAssembly Datei (.wasm),
    > gleiches gilt für Javascript, vom Webserver herunter, verarbeitet die Daten
    > und Anweisungen innerhalb der Datei. Sollte darin vorkommen "verschlüssele
    > alle Dateien", so wird auch der WebBrowser das nicht gestatten.

    http://www.zeit.de/digital/internet/2014-04/sicherheitsluecke-internet-explorer

    https://www.syssec.rub.de/media/emma/veroeffentlichungen/2017/08/16/usenix17-microcode.pdf

    > Hörst du mit der Verwendung von Bildbetrachtern nun auch auf?

    Bei manchen Bildformaten hat es 20 Jahre gedauert, den gängigen Decoder-Libs die letzten Einfallslöcher zu stopfen und ich vermute, dass gerade der TIFF-Container auch heute noch Platz für Überraschungen bietet.

    > Mit Sandkasten in Sandkasten um den bösen Hackern den Spaß an
    > Programmierfehlern zu nehmen

    https://www.javaworld.com/article/2076945/java-security/understanding-the-keys-to-java-security----the-sandbox-and-authentication.html

    Man beachte das Datum der Veröffentlichung und wer das geschrieben hat. Paar Wochen später (für die damalige Zeit "sehr schnell") war der vielgepriesene Bytecode-Verifier ausgehebelt.

    Java-Applets sind auch "Sandkasten im Sandkasten", aber man hat nie die ganzen Einfallstore schliessen können - was zum Tod dieser Technologie geführt hat.

    https://www.duckware.com/tech/java-security-sandbox-tricked-into-granting-full-computer-access-to-applet.html

    Und dieser Prozess wird bei WebAssembly auch stattfinden.

    fb

  2. Re: WebAssembly sollte man besser deaktivieren.

    Autor: freebyte 13.04.18 - 00:38

    BangerzZ schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube du hast WebAssembly nicht verstanden. WebAssembly kann nicht
    > mehr (momentan sogar noch wesentlich weniger) als JavaScript.

    Abwarten. Wenn die Community zum Entschluss kommt, dass WA mehr Probleme löst als Neue zu erzeugen wird der Kern nochmal kräftig und vergleichsweise "schluderig" aufgebohrt sonst heisst es "das Projekt ist tot".

    fb

  3. Re: WebAssembly sollte man besser deaktivieren.

    Autor: twothe 13.04.18 - 09:28

    Flash war sicher, Java-Applets waren sicher, WebAssembly ist auch sicher. Und für alles andere reicht es ja einen aktuellen Virenscanner zu haben.

  4. Re: WebAssembly sollte man besser deaktivieren.

    Autor: FreiGeistler 13.04.18 - 11:08

    TheUnichi schrieb:
    --------------------------------------------------------------------------------
    > My1 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > JS ist für viele sachen nützlich, aber es ist mMn hoffnungslos overused
    > vor allem wenn für vieles (bspw dropdowns) auch CSS geht.
    >
    > Hast du eine Ahnung. Dadurch, dass du display nicht animieren kannst und
    > dir mit allen anderen Tools (visibility, opacity) der Platz des Elements
    > zurückbleibt, kommst du für saubere Animationen eines Dropdowns gar nicht
    > drum rum, JavaScript zu nutzen und mindestens transitionEnd abzufangen.

    Selber :-)
    >Beispiel wies geht.<
    Das könnte man natürlich noch um die transition- oder die animation-property erweitern. Und dann gibts ja noch Media Queries.

  5. Re: WebAssembly sollte man besser deaktivieren.

    Autor: FreiGeistler 13.04.18 - 11:13

    twothe schrieb:
    --------------------------------------------------------------------------------
    > Flash war sicher, Java-Applets waren sicher, WebAssembly ist auch sicher.
    > Und für alles andere reicht es ja einen aktuellen Virenscanner zu haben.

    ?
    Ernsthaft? Das alles auf einem Server?

    Zugegeben, Windows Server 2016 hat sogar noch das XBOX Game Center und den Gamemode drauf.

  6. Re: WebAssembly sollte man besser deaktivieren.

    Autor: My1 13.04.18 - 11:24

    FreiGeistler schrieb:
    --------------------------------------------------------------------------------
    > Selber :-)
    > >Beispiel wies geht.<
    > Das könnte man natürlich noch um die transition- oder die
    > animation-property erweitern. Und dann gibts ja noch Media Queries.

    ich bevorzuge ja dieses, da diese auf klicken statt auf hovern geht.
    https://koen.kivits.com/articles/pure-css-menu/

    Asperger inside(tm)

  7. Re: WebAssembly sollte man besser deaktivieren.

    Autor: Suchiman 13.04.18 - 19:43

    freebyte schrieb:
    --------------------------------------------------------------------------------
    > > Ein Bild aus dem Internet anzuschauen würde niemand als unsicher
    > > bezeichnen, weil du ein Programm verwendest, dem du vertraust, welches
    > dir
    > > das Bild anzeigt.
    >
    > www.heise.de
    >
    > winfuture.de
    Du hast die Kernaussage nicht verstanden: Die meisten Nutzer (und in meiner Annahme auch der Autor) würden es nicht als gefährlich sehen, Bilder zu öffnen. Der Punkt war, dass es eben genauso unsicher ist.

    > > Nichts anderes tut der WebBrowser. Er lädt eine WebAssembly Datei
    > (.wasm),
    > > gleiches gilt für Javascript, vom Webserver herunter, verarbeitet die
    > Daten
    > > und Anweisungen innerhalb der Datei. Sollte darin vorkommen
    > "verschlüssele
    > > alle Dateien", so wird auch der WebBrowser das nicht gestatten.
    Das war ein Vergleich, dass WebBrowser im Vergleich mit dem Bildbetrachter nicht unsicherer / sicherer sind.

    > > Hörst du mit der Verwendung von Bildbetrachtern nun auch auf?
    Wie schon erläutert, gemeint ist dass diese nicht sicherer sind als Browser.

    > > Mit Sandkasten in Sandkasten um den bösen Hackern den Spaß an
    > > Programmierfehlern zu nehmen
    >
    > www.javaworld.com
    >
    > Man beachte das Datum der Veröffentlichung und wer das geschrieben hat.
    > Paar Wochen später (für die damalige Zeit "sehr schnell") war der
    > vielgepriesene Bytecode-Verifier ausgehebelt.
    >
    > Java-Applets sind auch "Sandkasten im Sandkasten", aber man hat nie die
    > ganzen Einfallstore schliessen können - was zum Tod dieser Technologie
    > geführt hat.
    >
    > www.duckware.com
    >
    > Und dieser Prozess wird bei WebAssembly auch stattfinden.
    >
    > fb

    Resume: Nichts ist sicher aber Webassembly ist nicht verhältnismäßig unsicherer um dessen grundlegende Deaktivierung zu fordern.

  8. Re: WebAssembly sollte man besser deaktivieren.

    Autor: freebyte 13.04.18 - 20:21

    Suchiman schrieb:
    --------------------------------------------------------------------------------

    > Resume: Nichts ist sicher aber Webassembly ist nicht verhältnismäßig
    > unsicherer um dessen grundlegende Deaktivierung zu fordern.

    Das habe ich auch nicht unterstellt, aber wenn man die Kollegen "dabbes" und "MingFu" liest die einer Sandbox ein fast schon gottgläubiges Vertrauen schenken.... Das "Sandbox-Versprechen" ist in der Vergangenheit stets gebrochen worden.

    Der Vergleich mit Standalone-Programmen wie dem erwähnten Bildbetrachter ist auch nicht so ganz korrekt: nach Download aus einer akzeptablen Quelle und Installation findet keine Veränderung mehr statt (kann man, macht aber kaum einer) wärend Webcode generell (Html, CSS, JS, Flash...) frisch von Fernquellen nachgeladen wird deren Ursprung und Qualität der eigentliche Seitenbetreiber oftmals (wie bei Werbung) nicht unter seiner Kontolle hat.

    fb

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Allianz Versicherungs-AG, München Unterföhring
  2. DGUV - Deutsche gesetzliche Unfallversicherung e. V., Sankt Augustin
  3. Zahoransky AG, Todtnau
  4. ING Deutschland, Nürnberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 31,99€
  2. 16,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Core i7-1185G7 (Tiger Lake) im Test: Gut gebrüllt, Intel
Core i7-1185G7 (Tiger Lake) im Test
Gut gebrüllt, Intel

Dank vier äußerst schneller CPU-Kerne und überraschend flotter iGPU gibt Tiger Lake verglichen zu AMDs Ryzen 4000 eine gute Figur ab.
Ein Test von Marc Sauter

  1. Tiger Lake Überblick zu Intels 11th-Gen-Laptops
  2. Project Athena 2.0 Evo-Ultrabooks gibt es nur mit Windows 10
  3. Ultrabook-Chip Das kann Intels Tiger Lake

Crysis Remastered im Technik-Test: But can it run Crysis? Yes!
Crysis Remastered im Technik-Test
But can it run Crysis? Yes!

Die PC-Version von Crysis Remastered wird durch die CPU limitiert, dafür ist die Sichtweite extrem und das Hardware-Raytracing aktiv.
Ein Bericht von Marc Sauter

  1. Systemanforderungen Crysis Remastered reicht GTX 1660 Ti
  2. Crytek Crysis Remastered erscheint mit Raytracing
  3. Crytek Crysis Remastered nach Kritik an Trailer verschoben

IT-Jobs: Feedback für Freelancer
IT-Jobs
Feedback für Freelancer

Gutes Feedback ist vor allem für Freelancer rar. Wenn nach einem IT-Projekt die Rückblende hintenüberfällt, ist das aber eine verschenkte Chance.
Ein Bericht von Louisa Schmidt

  1. IT-Freelancer Der kürzeste Pfad zum nächsten Projekt
  2. Selbstständiger Sysadmin "Jetzt fehlen nur noch die Aufträge"