1. Foren
  2. Kommentare
  3. Software-Entwicklung-Forum
  4. Alle Kommentare zum Artikel
  5. › Webhack: Javascript…

Browser schreibt von alleine JS aus PNG?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Browser schreibt von alleine JS aus PNG?

    Autor: icke2311 23.08.10 - 09:50

    moin,

    versteh ich das richtig, nur weil ich ein paar Pixel per HTML5 Canvas-Tag schreibe wird daraus wieder JS Code der automatisch vom Browser ausgeführt wird?

    Klingt für mich im ersten Moment nach einem Bug im browser der als Sicherheitslücke ausgenutzt werden kann...

    Aber ich lass mich gern eines besseren von euch belehren...

    danke und gruß

  2. Re: Browser schreibt von alleine JS aus PNG?

    Autor: ( Alternativ: kostenlos registrieren) 23.08.10 - 09:52

    man sind doch alle links dabei. einfach nur dämlich klicken:

    http://blog.nihilogic.dk/2008/05/compression-using-canvas-and-png.html

    das problem ist viel eher dass doch gzip eine viel höhere kompressionsrate erreicht.

  3. Re: Browser schreibt von alleine JS aus PNG?

    Autor: PG 23.08.10 - 09:57

    Das wird nicht automatisch ausgeführt, aber es liegt dann vor und kann von anderem Javascript in der HTML-Datei verwendet werden.

  4. Re: Browser schreibt von alleine JS aus PNG?

    Autor: Crazy Horse 23.08.10 - 09:59

    ( Alternativ: kostenlos registrieren) schrieb:
    --------------------------------------------------------------------------------
    > das problem ist viel eher dass doch gzip eine viel höhere kompressionsrate
    > erreicht.

    Jo, ich muß auch fragen was das soll. Mit gz bzw. gz deflate packe ich das Prototype kleiner und komfortabler für den Nutzer wie für mich.
    Nja, kann auch ein Proof of Concept sein, aber ein Anwendungsbereich dafür sehe ich nicht.

  5. Re: Browser schreibt von alleine JS aus PNG?

    Autor: Der Erklärbär 23.08.10 - 10:01

    wie bereits indirekt gesagt wurde : eval() ist (zuallererst) keine Sicherheitslücke. Ich muss zugeben dass ich - bevor ich den Link aufgerufen hab - auch dachte da würde irgendwas gehackt werden

  6. Re: Browser schreibt von alleine JS aus PNG?

    Autor: Kredo 23.08.10 - 10:13

    Dann bist du blind. :)
    PNG-komprimierter Code ist nur bei der Ausführung im Client dekomprimiert, ansonsten ist er _immer_ komprimiert. Unabhängig vom Server. Vorteil ist bei riesigen Bibliotheken natürlich die Auslieferungsgeschwindigkeit. Der Nachteil ist natürlich die Konvertierung von PNG zu Javascript innerhalb des Browsers. Ein weiterer NAchteil ist später oder auch heute schon, eine neue Möglichkeit den Schadcode zu verstecken. Solange der Scanner nicht weiß wie er das PNG interpretieren muss, kann er nicht anschlagen.

  7. gzip und PNG verwenden beide den deflate-Algorithmus

    Autor: Dreadi 23.08.10 - 10:20

    gzip (/zip) und PNG verwenden beide den deflate-Algorithmus und bieten daher auch die gleiche Kompressionsrate.

    Da PNG mit Farbpaletten arbeiten kann, wird sich das im Artikel beschriebene Kompressionsverfahren im Vergleich zum gzip-Format nicht besonders viel nehmen.

  8. Re: Browser schreibt von alleine JS aus PNG?

    Autor: Quarks 23.08.10 - 10:31

    Arbeitet gzip nicht serverseitig, was hier verboten wäre?

  9. Re: Browser schreibt von alleine JS aus PNG?

    Autor: Crazy Horse 23.08.10 - 10:45

    Kredo schrieb:
    --------------------------------------------------------------------------------
    > Dann bist du blind. :)

    'nkay. Für Malware wäre es vllt interessant.
    Allerdings denke ich, dass dies' (zukünftig) auch nicht wirklich effektiv ist, da AntiViren-Programme schon Bilder auf Schadcode checken -- wäre ja auch nicht das Erste mal, dass jemand versucht Schadcode dort zu verstecken -- und demzufolge auch 'nen PNG erstmal entpacken.

  10. Re: Browser schreibt von alleine JS aus PNG?

    Autor: Schnubbe 23.08.10 - 10:55

    Quarks schrieb:
    --------------------------------------------------------------------------------
    > Arbeitet gzip nicht serverseitig, was hier verboten wäre?


    Der Server generiert eine HTML-Seite, komprimiert diese mit gzip/compress (sofern der Browser das unterstützt und der Server dementsprechend konfiguriert ist) und sendet diese an den Browser.

    Der wiederum entpackt die Seite.

    Der für den Wettbewerb relevante Teil (Entpacken) findet im Browser statt. Allerdings gestaltet es sich etwas schwierig, dem Browser ohne Serververbindung die entsprechenden HTML-Header zu präsentieren (wofür man dem Browser was vorgaukeln müsste + das ganze noch auf alle Browser anpassen).

    Vergleiche diesen Aufwand mit dem einfachen Entpacken einer PNG-Datei, da wird schnell klar, welches einfacher und kompatibler ist.

  11. Re: Browser schreibt von alleine JS aus PNG?

    Autor: JenZzzz 23.08.10 - 16:29

    Es war ein Contest und eine Machbarkeitsstudie, nicht immer muss alles was man macht, auch einen Sinn haben ;) manchmal hat man auch einfach nur Spaß etwas auszuprobieren. Ich fand es schon sehr obskur, dass sowas überhaupt möglich ist und finde den Programmierer schon sehr kreativ mit seiner Anwendung - am Sinn mag man natürlich zweifeln.

  12. Re: Browser schreibt von alleine JS aus PNG?

    Autor: eYo 24.08.10 - 07:41

    Was redet ihr hier von Schadcode? Wir reden hier von JavaScript. das einzige was JS schadhaft anrichten könnte wäre den Browser mit popups fluten.
    JavaScript ist keine komplexe "Sprache" mit der sich Daten ausführen oder Auslesen lassen...

  13. Re: Browser schreibt von alleine JS aus PNG?

    Autor: keule1234 24.08.10 - 08:07

    JavaScript ist turing vollständig - im Prinzip kann man damit alles erdenkliche machen - würde der Browser bzw. der JS-Interpreter des Browsers nicht gewisse Grenzen setzen.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Software-Manager Automotive mit Schwerpunkt Cyber Security (m/w/d)
    Schaeffler Technologies AG & Co. KG, Herzogenaurach
  2. Network Architect / Network Engineer (m/w/d)
    IF-TECH AG, Passau, Ansbach, München
  3. Head of Software Development (m/w/d)
    TIMOCOM GmbH, Erkrath, Düsseldorf (remote möglich)
  4. Mitarbeiter (m/w/d) Customer Support für Förderprogramme
    Landwirtschaftliche Rentenbank, Frankfurt am Main

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 24,99€ statt 69,99€
  2. u. a. Resident Evil Village - Deluxe Edition für 32,99€, Anno 1800 für 17,99€)
  3. (u. a. PS5-Controller für 49,99€, Uncharted: Legacy of Thieves Collection PS5 für 24,99€, Far...
  4. 19,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


US-Militär: Kernkraft im Weltall von Vernunft bis möglichem Betrug
US-Militär
Kernkraft im Weltall von Vernunft bis möglichem Betrug

Zwei Techniken sollen 2027 mit Satelliten fliegen, ein Fusionsreaktor und eine Radioisotopenbatterie. Nur eine davon ist glaubwürdig.
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt Raketenabgase können die Atmosphäre schädigen
  2. Raumfahrt Raketenstufe mit Helikopter gefangen und wieder verloren
  3. Raumfahrt Rocketlab will eine Rakete per Helikopter auffangen

Rasterfahndung: Europol will Daten von Europäern beim Grenzübertritt sammeln
Rasterfahndung
Europol will Daten von Europäern beim Grenzübertritt sammeln

Frontex und Europol wollen für alle Reisenden eine Datei anlegen und mit verschiedenen Datenbanken abgleichen. Die Auswertung soll mit KI erfolgen.
Von Matthias Monroy

  1. Subventionswettbewerb Halbleiterkrise stärke die Zusammenarbeit von EU und USA
  2. Digital-Markets-Act EU könnte Safari-Dominanz auf iOS brechen
  3. Digitale-Dienste-Gesetz Was die Einigung zum DSA bedeutet

Xiaomi Watch S1 Active im Test: Wenn sich beim Joggen der Schlafmodus meldet
Xiaomi Watch S1 Active im Test
Wenn sich beim Joggen der Schlafmodus meldet

Eine günstige Sportuhr mit gutem GPS-Modul - das wäre was! Leider hat die Watch S1 Active von Xiaomi zu viele Schwächen, um Spaß zu machen.
Von Peter Steinlechner

  1. Wearable Fossil präsentiert Hybrid-Smartwatch im Retrolook