Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Sicherheit und N utzen von WebAssemblys
2 views
Skip to first unread message
Andreas Wagner
Jan 29, 2023, 10:45:07 AM1/29/23
to
Hallo zusammen,
ich habe mich ein wenig mit WebAssemblys auseinadergesetzt und frage mich,
ob dabei das System kompromittiert werden kann. Es reicht ja schon, Shell-
Befehle oder Assembler ausführen zu können. Ein INT 83 oder syscall()
unter Linux und man darf schon zuviel.
Was den Nutzen angeht: Bilder könnte man vermutlich mit image.data DOM-
Objekten einbauen. Das habe ich noch nicht versucht. Es könnte auch
klappen, da Events reinzubekommen.
Mir scheint WASM beim FF unter Linux Mint standardmäßig eingeschaltet.
Gruß
Andreas
ich habe mich ein wenig mit WebAssemblys auseinadergesetzt und frage mich,
ob dabei das System kompromittiert werden kann. Es reicht ja schon, Shell-
Befehle oder Assembler ausführen zu können. Ein INT 83 oder syscall()
unter Linux und man darf schon zuviel.
Was den Nutzen angeht: Bilder könnte man vermutlich mit image.data DOM-
Objekten einbauen. Das habe ich noch nicht versucht. Es könnte auch
klappen, da Events reinzubekommen.
Mir scheint WASM beim FF unter Linux Mint standardmäßig eingeschaltet.
Gruß
Andreas
Arno Welzel
Jan 29, 2023, 12:21:10 PM1/29/23
to
Andreas Wagner, 2023-01-29 16:45:
> ich habe mich ein wenig mit WebAssemblys auseinadergesetzt und frage mich,
> ob dabei das System kompromittiert werden kann. Es reicht ja schon, Shell-
> Befehle oder Assembler ausführen zu können. Ein INT 83 oder syscall()
> unter Linux und man darf schon zuviel.
Genau deswegen darf ein WebAssembly das auch nicht. WebAssembly ist
vereinfacht ausgedrückt eine compilierte Form von JavaScript.
> Was den Nutzen angeht: Bilder könnte man vermutlich mit image.data DOM-
> Objekten einbauen. Das habe ich noch nicht versucht. Es könnte auch
> klappen, da Events reinzubekommen.
Um Bilder geht es bei WebAssembly nicht, sondern um die Ausführung von
Code in der Sandbox des Browsers.
> Mir scheint WASM beim FF unter Linux Mint standardmäßig eingeschaltet.
Ja, weil Anwender in der Regel nicht verstehen, warum der Inhalt auf
einer Website nicht geht, weil standardmäßig diverse Funktionen im
Browser ausgeschaltet sind oder bei Rückfragen "diese Seite möchte eine
WebAssembly laden und ausführen - erlauben?" einfach immer mit "Ja"
antworten, womit dann auch keine Sicherheit gewonnen wäre.
--
Arno Welzel
https://arnowelzel.de
> ich habe mich ein wenig mit WebAssemblys auseinadergesetzt und frage mich,
> ob dabei das System kompromittiert werden kann. Es reicht ja schon, Shell-
> Befehle oder Assembler ausführen zu können. Ein INT 83 oder syscall()
> unter Linux und man darf schon zuviel.
vereinfacht ausgedrückt eine compilierte Form von JavaScript.
> Was den Nutzen angeht: Bilder könnte man vermutlich mit image.data DOM-
> Objekten einbauen. Das habe ich noch nicht versucht. Es könnte auch
> klappen, da Events reinzubekommen.
Code in der Sandbox des Browsers.
> Mir scheint WASM beim FF unter Linux Mint standardmäßig eingeschaltet.
einer Website nicht geht, weil standardmäßig diverse Funktionen im
Browser ausgeschaltet sind oder bei Rückfragen "diese Seite möchte eine
WebAssembly laden und ausführen - erlauben?" einfach immer mit "Ja"
antworten, womit dann auch keine Sicherheit gewonnen wäre.
--
Arno Welzel
https://arnowelzel.de
Arno Welzel
Jan 29, 2023, 12:23:58 PM1/29/23
to
Arno Welzel, 2023-01-29 18:21:
> Andreas Wagner, 2023-01-29 16:45:
[...]
<https://copy.sh/v86/>
Da kann man sich beispielsweise Haiku als VM *im* Browser anschauen,
d.h. die VM wird vom Browser ausgeführt:
<https://copy.sh/v86/?profile=haiku>
Oder wer sich mal wieder ein Museumsstück anschauen will, Windows 3.1
gibt es ebenfalls:
<https://copy.sh/v86/?profile=windows31>
> Andreas Wagner, 2023-01-29 16:45:
>> Was den Nutzen angeht: Bilder könnte man vermutlich mit image.data DOM-
>> Objekten einbauen. Das habe ich noch nicht versucht. Es könnte auch
>> klappen, da Events reinzubekommen.
>
> Um Bilder geht es bei WebAssembly nicht, sondern um die Ausführung von
> Code in der Sandbox des Browsers.
Dazu noch als praktisches Beispiel:
>> Objekten einbauen. Das habe ich noch nicht versucht. Es könnte auch
>> klappen, da Events reinzubekommen.
>
> Um Bilder geht es bei WebAssembly nicht, sondern um die Ausführung von
> Code in der Sandbox des Browsers.
<https://copy.sh/v86/>
Da kann man sich beispielsweise Haiku als VM *im* Browser anschauen,
d.h. die VM wird vom Browser ausgeführt:
<https://copy.sh/v86/?profile=haiku>
Oder wer sich mal wieder ein Museumsstück anschauen will, Windows 3.1
gibt es ebenfalls:
<https://copy.sh/v86/?profile=windows31>
0 new messages