Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Sicherheit und N utzen von WebAssemblys

2 views
Skip to first unread message

Andreas Wagner

unread,
Jan 29, 2023, 10:45:07 AM1/29/23
to
Hallo zusammen,

ich habe mich ein wenig mit WebAssemblys auseinadergesetzt und frage mich,
ob dabei das System kompromittiert werden kann. Es reicht ja schon, Shell-
Befehle oder Assembler ausführen zu können. Ein INT 83 oder syscall()
unter Linux und man darf schon zuviel.

Was den Nutzen angeht: Bilder könnte man vermutlich mit image.data DOM-
Objekten einbauen. Das habe ich noch nicht versucht. Es könnte auch
klappen, da Events reinzubekommen.

Mir scheint WASM beim FF unter Linux Mint standardmäßig eingeschaltet.

Gruß
Andreas

Arno Welzel

unread,
Jan 29, 2023, 12:21:10 PM1/29/23
to
Andreas Wagner, 2023-01-29 16:45:

> ich habe mich ein wenig mit WebAssemblys auseinadergesetzt und frage mich,
> ob dabei das System kompromittiert werden kann. Es reicht ja schon, Shell-
> Befehle oder Assembler ausführen zu können. Ein INT 83 oder syscall()
> unter Linux und man darf schon zuviel.

Genau deswegen darf ein WebAssembly das auch nicht. WebAssembly ist
vereinfacht ausgedrückt eine compilierte Form von JavaScript.

> Was den Nutzen angeht: Bilder könnte man vermutlich mit image.data DOM-
> Objekten einbauen. Das habe ich noch nicht versucht. Es könnte auch
> klappen, da Events reinzubekommen.

Um Bilder geht es bei WebAssembly nicht, sondern um die Ausführung von
Code in der Sandbox des Browsers.

> Mir scheint WASM beim FF unter Linux Mint standardmäßig eingeschaltet.

Ja, weil Anwender in der Regel nicht verstehen, warum der Inhalt auf
einer Website nicht geht, weil standardmäßig diverse Funktionen im
Browser ausgeschaltet sind oder bei Rückfragen "diese Seite möchte eine
WebAssembly laden und ausführen - erlauben?" einfach immer mit "Ja"
antworten, womit dann auch keine Sicherheit gewonnen wäre.

--
Arno Welzel
https://arnowelzel.de

Arno Welzel

unread,
Jan 29, 2023, 12:23:58 PM1/29/23
to
Arno Welzel, 2023-01-29 18:21:

> Andreas Wagner, 2023-01-29 16:45:
[...]
>> Was den Nutzen angeht: Bilder könnte man vermutlich mit image.data DOM-
>> Objekten einbauen. Das habe ich noch nicht versucht. Es könnte auch
>> klappen, da Events reinzubekommen.
>
> Um Bilder geht es bei WebAssembly nicht, sondern um die Ausführung von
> Code in der Sandbox des Browsers.

Dazu noch als praktisches Beispiel:

<https://copy.sh/v86/>

Da kann man sich beispielsweise Haiku als VM *im* Browser anschauen,
d.h. die VM wird vom Browser ausgeführt:

<https://copy.sh/v86/?profile=haiku>

Oder wer sich mal wieder ein Museumsstück anschauen will, Windows 3.1
gibt es ebenfalls:

<https://copy.sh/v86/?profile=windows31>
0 new messages