WebAssembly и все все все

Браузер придется запускать в виртуалках,

+1, вместо sudo -u anon PROG

sudo -u anon PROG

Это не спасет. Достаточно запустить брутфорс на su. Под прикрытием высокой нагрузки будет показан видеоролик. Или это ты сейчас так делаешь? :)

WASM - превосходная штука. Реальный шанс выкинуть жс-говно к чертям.

Полностью пропиетарный код. В вашем браузере. Который умеет делать системный вызовы. Слать смс-ки, включать видеокамеру в тихую, читать письма, смотреть фотки и даже делать rm-rf/.

Ы? Песочницы уже нет? При трансляции код не проверяется на int 80h?

Ы? Песочницы уже нет?

Код библиотеки ограничен лишь правами процесса, под которым он запущен. Что-то выше этого это уже уровень grsec/pax/selinux/etc.

Код библиотеки ограничен лишь правами процесса, под которым он запущен.

Иии... что с того? Код пускается в отдельном процессе, системные вызовы перехватываются и фильтруются. ЕМНИП, так было в NaCl.

Ах да, и откуда возьмется инструкция int 80h в WebAssembly? Там что, разрешена динамическая генерация кода?

У пациента понос мозга просто, не обращайте внимания. WASM не будет уметь в браузерах ничего, что уже не умеет жс.

Ну, вдруг он что-то знает... или просто скажет «увеличилась поверхность атаки».

Чтобы сделать системный вызо, нужно сначала явно добавить такую возможность в движок Javascript. И ещё добавить разрешение в фильтре системных вызовов.

Посмотрим что они там зафигачат. Просто доверие все падает и падает к нынешним браузеро-строителям.

Потом окажется, что была дырка, которая позволяла читать любые файлы и слать в АНБ. Потом окажется, что была дырка, которая умела выполнять вообще любой код в обход фильтров. Потом... И так до посинения. И сколько еще останется «нераскрытых» дыр, естественно, никто не знает. Но зато, JS будет летать.

Но пока видна только твоя дырка, из которой струится бред на ЛОР.

Потом окажется, что была дырка, которая позволяла читать любые файлы и слать в АНБ. Потом окажется, что была дырка, которая умела выполнять вообще любой код в обход фильтров. Потом...

Потом ты сделал для браузера песочницу через SELinux/AppArmor/SMACK или ждешь WASM, парализованный ужасом?

Вот у тебя щас запущен SELinux/AppArmor/SMACK? У твоей родственников тоже все настроено? И у дедушки/бабшки тоже? А на телефоне?

Не хочу спорить. Люди тупо не готовы. Т.к. им не предоставили простых и надежных инструментов обезопасить себя от фейлов браузеро-строителей. Хотя, это же бред. Браузеро-строители идеальные люди, б-ги, они не могут ошибаться. Всё.

Как будто сейчас этих дырок нет. Даже в lynx.

Вот у тебя щас запущен SELinux/AppArmor/SMACK?

Нет. Но я не озабочен проблемой настолько, чтобы писать на ЛОР.

Хотя, это же бред. Браузеро-строители идеальные люди, б-ги, они не могут ошибаться. Всё.

То есть это изначально был троллинг, замаскированный под озабоченное нытье. Всё.

Даже в lynx.

И много сайтов миллиоников, где этот lynx покажет что-то полезное? А на тех кто показывает полезное просто нету этой ****ты, только если не ищешь прон через lynx.

Но я не озабочен проблемой настолько, чтобы писать на ЛОР.

Верно, давай вообще ничего не писать.

давай вообще ничего не писать.

Да, ничего не пиши.

Да, даже не взирая на огромную дыру безопасности, проблема ещё и в том, что губится сама идея веба. И делается это в угоду блобописателей. Долой стандарты веба! «Разделяй и властвуй» во всей своей красе.

Вэб как таковой просто становится ненужен. Браузер - просто запускалка кода, который никто и никак не сможет контролировать. Пользователь окончательно и бесповоротно превращается в используемого.

У меня включен селинукс. И на рабстанции и в телефоне и в планшете.

Много ты сейчас js-кода способен прочитать и понять? Не, даже не так. Много ли js-кода ты сейчас смотришь?

Зато будут игры в браузерах, без всяких плагинов.

WASM по виду мало чем отличается от вывода emscripten или uglifyjs.

Кстати из-за корявости всех существующих видеодров, вебгл — гораздо бо́льшая потенциальная дырка, чем любой wasm.

Теперешнее засилье js-кода это начало конца. Да это очень всё плохо. Мир идёт не туда.

Ну будем через docker браузеры пускать.

Половина народа вообще тут не в курсе что такое WebAssembly. Причем тут вообще JS. Фактически это макроязык низкоуровневый. Можно сравнить с виртуалкой. У Оберона помоему так устроено внутри все. У Инферно написанная программа работает вне зависимости от процессора. А вы про int 80h Нет там вызовов прямых. Есть код вызова функции виртуалки.

А asm.js это (блин слово забыл).... хрень которая выполняет этот код если браузер не умеет напрямую выполнять его.

А asm.js это (блин слово забыл).... хрень которая выполняет этот код

фейспалм.жпг

Что не так? WebAssembly появился позже. Как раз за основу и взяты разработки в том числе и asm.js И кстати сам asm.js конечно там не будет использоваться, но будет аналогичная прослойка.

А asm.js это (блин слово забыл).... хрень которая выполняет этот код

фейспалм.жпг

asm.js - это спека на подмножество JS. Она ничего не выполняет.

А проблемой чужих сообщений, значит, озабочен достаточно чтоб писать на лор? И вообще, если писанина на лоре это мерило радиуса проблемы...

На почитай http://habrahabr.ru/post/270379/

asm.js реализует весьма элегантную идею: программа на нём представляет собой корректный код на (сильно урезанном) JavaScript, и соответственно, такая программа должна заработать в любом браузере с поддержкой JavaScript. С другой стороны, браузеры, способные распознать конструкции asm.js и «на лету» скомпилировать их в машинный код для целевой платформы, — выполнят такую программу во много раз быстрее, чем браузеры, исполняющие JavaScript «в лоб». Таким образом, и старые браузеры способны выполнять новый код на asm.js, и новые браузеры способны выполнять старый код на «классическом» JavaScript: если в скрипте нет пролога «use asm»;, он выполняется «по-старинке».

На почитай http://habrahabr.ru/post/270379/

Зачем?

asm.js реализует весьма элегантную идею

Т.е. ты больше не думаешь, что asm.js что-то там выполняет? Прекрасно.

И вообще, если писанина на лоре это мерило радиуса проблемы...

Расскажи о настоящем радиусе проблемы. Топикстартер слился - продолжи его дело.

Настоящий радиус проблемы таков, что аж тейлганнер порвался. Не могу дать более подробные цифры: для их вычисления необходимо знать некоторые свойства тейлганнера, например, его предел прочности.

Да вы сговорились сливаться :(

блин. Я так и написал что браузер выполняет код как JS

И в webAssembly будет не asm.js, аналог.

это они так готовятся к похоронам флэша, усердно создавая запасное дупло?

уеб

открытые стандарты

Не подскажете, что это такое написано на первом вебсервере? Бааа, да он же пиписитарный!

http://i.imgur.com/nrSlkLR.jpg

Мамкины параноики такие забавные.

У тебя в хомяке база данных с миллионами номеров кредитных карточек лежит? В открытом виде?

А GPS на мобилке поди тоже отключаешь, и ходишь в незнакомом городе по бумажной карте с компасом и НЛ-10? Ах, ну да, мобилка параноика - нокла 3310. Хотя и там пиписитарные алгоритмы шифрования, так что параноик будет сидеть с открытым (тм) ноутбуком на базе революционного процехсура Core 2 Duo и гарнитурой. В шкайпе или что там сейчас модно (ватсап, стограмм?).