Aloha ;)

Hoffentlich wird es mit WebAssembly nicht eine neue Büchse der Pandora geben.

Ohne euch unbedingt unterbrechen zu wollen: Ich glaube kaum, dass es seit der letzten Diskussion da neue Erkenntnisse gibt. Abwarten und nicht zu skeptisch sein ist nach wie vor die Devise, meiner Meinung nach.

Die Frage, die sich mir stellt, ist diese: Wird dadurch der Browser nicht unnötigerweise noch unsicherer, als er das jetzt schon ist? Höhere Komplexität = mehr Möglichkeiten für konzeptionelle Fehler.

„Wenn es danach geht, hätten wir nie mit dem Internet anfangen dürfen und alle bei unseren Amigas und Comodores bleiben müssen. Jede Weiterentwicklung birgt Komplexität und Potential für neue Sicherheitslücken. Die muss man dann halt finden und fixen.“

Für WebAssembly wird sicherlich (wieder) irgendeine Art IL verwendet, bei der es wieder sehr spannend wird, Malware als solche zu erkennen und zu entschärfen.

„Was die Sicherheit betrifft, ist WebAssembly so entworfen worden, dass die selben Zugriffs-Beschränkungen eingehalten werden müssen, die auch für JS gelten. Es ist der selbe Teil der JS-Engine, der bspw. den Dateisystem-Zugriff reguliert. Das ist der wesentliche Unterschied im Security-Modell von WASM und vorherigen Plugin-Lösungen. Es ist sogar ein explizit genannter Anwendungsfall, nicht-vertrauenswürdigen Code (serverseitig) gefahrlos auszuführen. Realisiert wird das über Sandboxing.“

Auch WebGL erlaubt das Schreiben von ausführbarem Code in die Shader-Prozessoren der Grafikkarte - welche spätestens seit dem AGP-Standard Zugriff auf den Hauptspeicher hat… eben Büchse der Pandora.

„Hier kommen gerade ein paar Mails von Leuten rein, die es besser/genauer wissen als ich. Die beiden Haupteinwände sind: a) man kann per WebGL nur GLSL hochladen, nicht binäre Shader, und b) die Grafikkarte kann nicht auf den kompletten Speicher im PC zugreifen, sondern nur auf die Bereiche, die der Treiber eingestellt hat. Soweit ich weiß ist das generell beides richtig.“

So what? 😉 Dinge schlechter reden als sie sind und widerlegte Argumente zu wiederholen bringt uns ja auch nicht weiter 😉 Einfach mal abwarten.

Grüße,

RIDER