1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Google Chrome: Chromium…

Das fehlte gerade noch!

  1. Thema

Neues Thema Ansicht wechseln


  1. Das fehlte gerade noch!

    Autor: Mingfu 05.06.12 - 09:31

    Aus Sicherheitssicht sind hardwarebeschleunigte Webanwendungen (nicht nur das hier, auch WebGL usw.) sehr bedenklich. Die Grafikkartentreiber laufen normalerweise mit Kernelrechten, es bestehen ggf. zusätzlich gar DMA-Möglichkeiten. Sollte dort irgendwo ein Sicherheitsleck sein, so dass man mit Verarbeitung bestimmter Daten einen Pufferüberlauf o. ä. erzeugen kann, dann stehen einem Angreifer Tür und Tor mit Maximalrechten offen.

    Und gerade bei Grafikkartentreibern existiert bisher keinerlei Sicherheitskultur, weil Sicherheitsprobleme dort bisher nie ein Thema waren. Wenn irgendwo ein Fehler ist, da stürzt das Spiel halt mal ab oder es kommt ein Bluescreen - egal, nach einem Neustart geht es weiter. Dass jemand diese Fehler gezielt ausnutzen könnte, daran wurde bisher gar nicht gedacht. Eine Anwendung, die derartige Fehler ausnutzen wöllte, wäre ja bisher ohnehin schon auf dem System installiert gewesen und hätte damit schon weitgehende Rechte gehabt. Aber jetzt auf einmal könnte das jede Website, was zu einer völlig anderen Bedrohungslage führt.

  2. Re: Das fehlte gerade noch!

    Autor: der-dicky 05.06.12 - 09:52

    ...oder mit anderen worten:
    /o\ Oh nein, eine Neue Technologie die noch nicht Perfekt ist, es wird der Weltuntergang hereinbrechen, so wie auch bei javascript, oder den internet, man man man, ob damals auch jemand solche bedenken geäußert hat als der tcp/ip stack in den kernel gewandert ist?

  3. Und es hat ja bisher auch niemand einen Preis dafür bezahlt?

    Autor: Mingfu 05.06.12 - 10:17

    der-dicky schrieb:
    --------------------------------------------------------------------------------
    > ...oder mit anderen worten:
    > /o\ Oh nein, eine Neue Technologie die noch nicht Perfekt ist

    Du vergisst bei deiner "Argumentation" zwei Sachen:

    1. Im Internet geht es inzwischen um viel Geld: Online-Banking, Kreditkartenzahlungen, Depotverwaltung bis hin zu Micropaymentsystemen. Damit zu argumentieren, dass uralte Entscheidungen ja auch nicht fatal waren, geht deshalb an der heutigen Realität vorbei. Damals existierte noch Zeit, damit derartige Sachen reifen. Wenn man sich z. B. mal erinnert, wie viele Fehler in den ersten JavaScript-Implementierungen steckten - offene Scheunentore wäre eine Untertreibung. Aber damals war bei den meisten Anwendern halt auch nichts zu holen. Da kam vielleicht ein Virus mit einem Spaßbildschirm und frierte den Rechner ein - das war's.

    Mit solchen Kindereien gibt sich heute niemand mehr ab. Onlinebanking-Trojaner und Co. sind absoluter Standard. Hier geht es um viel Geld, da ist auch gleich die Motivation eine ganz andere. Die Zeit, dass man Software beim Anwender reifen lassen kann, hat man in diesem Bereich heute nicht mehr - jeder Fehler ist sofort teuer für einige.

    2. Den Preis für deine "nicht perfekte Technologie" zahlt der Anwender in immer größerem Maße. Bis zu leichter Fahrlässigkeit zahlen entsprechende Schäden die Banken (wobei sie das natürlich auch auf alle Kunden umlegen). Aber weil die inzwischen auch merken, dass das verdammt teuer wird, werden zunehmend Gerichte bemüht, um den Anwender in die grobe Fahrlässigkeit zu drücken und ihn damit den Schaden selbst zahlen zu lassen. Und grob fahrlässig ist es inzwischen schon, wenn man nicht auf dem tagesaktuellen Updatestand bezüglich Virenscannern und sämtlicher eingesetzter Software ist. Ich würde lachen, wenn demnächst ein Gericht feststellt, dass es grob fahrlässig ist, derartig experimentelle Technologie nicht zu deaktivieren... Wenn die Bank was sparen kann, argumentiert sie sicher damit.



    2 mal bearbeitet, zuletzt am 05.06.12 10:22 durch Mingfu.

  4. Re: Und es hat ja bisher auch niemand einen Preis dafür bezahlt?

    Autor: der-dicky 05.06.12 - 11:10

    Also sollte man keine Weiterentwicklung mehr vornehmen, ab sofort technischer still stand sobald ein bis jetzt weißer Fleck auf der Technologiekarte betreten werden müsste?

  5. Re: Und es hat ja bisher auch niemand einen Preis dafür bezahlt?

    Autor: Mingfu 05.06.12 - 11:47

    Selbstverständlich braucht es Weiterentwicklungen. Alles andere wäre ja auch völlig unrealistisch. Aber es braucht eine gründliche Betrachtung der Risiken und einen verantwortungsvollen Umgang. Es kann also sein, dass man an einigen Stellen langsamer vorgehen muss oder eine Sache verschiebt, weil die Zeit dafür nicht reif ist.

    Und gerade im konkreten Fall hier muss man wissen, dass es sich um ein potentielles Minenfeld handelt. Wir haben in den vergangenen Jahren an den Browsern, an Flash, an zentralen Bibliotheken gesehen, was für ein langer Weg das ist, wenn plötzlich neben reinen Funktions- und Performancefragen die Sicherheit in den Mittelpunkt des Interesses rückt. Das wird natürlich immer ein Problem bleiben, aber die Sensibilität der Hersteller ist auf jeden Fall jetzt da. Bei den Grafikkartenherstellern war das dagegen nie Thema, so dass man dort mit Problemen rechnen sollte.

    Hinzu kommen völlig neuartige Angriffsmöglichkeiten: Grafikkarten lassen sich nicht selten überhitzen, wenn man geeignete Operationen ausführt. Was dann in einem Bluescreen, schwarzen Bildschirm oder Rechnerabsturz endet, lässt sich vielleicht auch anderweitig nutzen. Eventuell kann man also die durch die Überhitzung hervorgerufenen Fehlberechnungen auch gezielt nutzen.

    Auch bergen diese Hardwarebeschleunigungen ein neues Tracking-Potential. An Hand der Geschwindigkeit der verschiedenen Berechnungen kann man vermutlich das Grafikkartenmodell bestimmen oder zumindest eingrenzen. Man kann also damit verschiedene Benutzer recht gut auseinander halten - jenseits von Cookies oder IP-Adressen. Eventuell ergibt es auch noch eine gewisse Temperaturabhängigkeit, die zur weiteren Präzisierung herangezogen werden kann.

    Da sind einfach zu viele Fragen zu klären und Problempotential abzuschätzen. Die Zeit ist einfach noch nicht reif. Und deshalb ist es unverantwortlich derartige Sachen in Produktivversionen im Moment zu aktivieren. Hier reicht es nicht, das mal ein paar Wochen oder Monate zu testen und zu schauen, ob es wie erwartet bunt aussieht. Wir werden uns eher im Jahresbereich bewegen, bevor qualifizierte Aussagen zu Sicherheit und Risiken hier vorgenommen werden können. Das ist einfach ein völlig neue Ebene: Von der Website geladene Daten bzw. gar Code (im Falle von WebGL) direkt an die Hardware durchzureichen und zur Ausführung zu bringen.

    Man soll damit gern in Entwicklerversionen Erfahrung sammeln, Möglichkeiten und Probleme entdecken - aber für den Endanwendereinsatz muss es heutzutage auf Grund der existierenden Bedrohungslage in dem Bereich von Anfang an perfekt sein. Dort verbieten sich Experimente, nur damit man etwas schneller alles etwas bunter haben kann.

  6. Re: Und es hat ja bisher auch niemand einen Preis dafür bezahlt?

    Autor: DASPRiD 05.06.12 - 14:27

    Mingfu schrieb:
    --------------------------------------------------------------------------------
    > Auch bergen diese Hardwarebeschleunigungen ein neues Tracking-Potential. An
    > Hand der Geschwindigkeit der verschiedenen Berechnungen kann man vermutlich
    > das Grafikkartenmodell bestimmen oder zumindest eingrenzen. Man kann also
    > damit verschiedene Benutzer recht gut auseinander halten - jenseits von
    > Cookies oder IP-Adressen. Eventuell ergibt es auch noch eine gewisse
    > Temperaturabhängigkeit, die zur weiteren Präzisierung herangezogen werden
    > kann.

    Achja, und das gleiche Prinzip kannst du nicht auf die CPU anwenden, also so, wie es momentan schon ist?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Landratsamt Breisgau-Hochschwarzwald, Freiburg
  2. Lebensversicherung von 1871 a. G. München, München
  3. Vodafone GmbH, Düsseldorf
  4. Conditorei Coppenrath & Wiese KG, Mettingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 42,99€
  2. 15,99€
  3. 27,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Astronomie: Arecibo wird abgerissen
Astronomie
Arecibo wird abgerissen

Das weltberühmte Radioteleskop ist nicht mehr zu retten. Reparaturarbeiten wären lebensgefährlich.

  1. Astronomie Zweites Kabel von Arecibo-Radioteleskop kaputt
  2. Die Zukunft des Universums Wie alles endet
  3. Astronomie Gibt es Leben auf der Venus?

In eigener Sache: Golem-PCs mit Ryzen 5000 und Radeon RX 6800
In eigener Sache
Golem-PCs mit Ryzen 5000 und Radeon RX 6800

Mehr Leistung zum gleichen Preis: Der Golem Highend wurde mit dem Ryzen 5 5600X ausgestattet, die Geforce RTX 3070 kann optional durch eine günstigere und schnellere Radeon RX 6800 ersetzt werden.

  1. Video-Coaching für IT-Profis Shifoo geht in die offene Beta
  2. In eigener Sache Golem-PCs mit RTX 3070 günstiger und schneller
  3. In eigener Sache Die konfigurierbaren Golem-PCs sind da

Pixel 4a 5G im Test: Das alternative Pixel 5 XL
Pixel 4a 5G im Test
Das alternative Pixel 5 XL

2020 gibt es kein Pixel 5 XL - oder etwa doch? Das Pixel 4a 5G ist größer als das Pixel 5, die grundlegende Hardware ist ähnlich bis gleich. Das Smartphone bietet trotz Abstrichen eine Menge.
Ein Test von Tobias Költzsch

  1. Schnelle Webseiten Google will AMP-Seiten nicht mehr bevorzugen
  2. Digitale-Dienste-Gesetz Will die EU-Kommission doch keine Konzerne zerschlagen?
  3. Google Fotos Kein unbegrenzter Fotospeicher für neue Pixel